Google minimiza la importancia de los informes sobre malware que abusa de una API no documentada de Google Chrome para generar nuevas cookies de autenticación después de que las previamente robadas hayan caducado.

A finales de noviembre de 2023, BleepingComputer informó sobre dos operaciones de malware de robo de información conocidas como Lumma y Rhadamanthys, asegurando que podían restaurar cookies de autenticación de Google previamente robadas que habían expirado durante los ataques.

Estas cookies podrían ser cargadas en los navegadores de los actores de amenazas, permitiéndoles acceder a las cuentas de Google de los usuarios infectados.
Desde entonces, otros cuatro programas maliciosos diseñados para robar información han adoptado la misma técnica, entre ellos, Stealc el 1 de diciembre, Medusa el 11 de diciembre, RisePro el 12 de diciembre y Whitesnake el 26 de diciembre.

La semana pasada, la empresa de ciberseguridad CloudSEK reveló que estas operaciones de malware centradas en el robo de información están haciendo un uso indebido de un punto final de la API denominada "MultiLogin" en Google OAuth. Esta manipulación permite generar nuevas cookies de autenticación que siguen siendo efectivas una vez que han expirado las cookies de Google originalmente sustraídas de una víctima.

Se cree que esta API está diseñada para sincronizar cuentas en diversos servicios de Google mediante la aceptación de un vector de ID de cuenta y tokens de inicio de sesión de autenticación.

Los intentos de BleepingComputer por obtener más información sobre esta API de Google no han tenido éxito, y la única documentación disponible se encuentra en el código fuente de Google Chrome


Según Pavan Karthick, investigador de CloudSEK, el malware de robo de información que abusa de esta función ahora tiene la capacidad de extraer múltiples tokens de Google Chrome. Estos tokens abarcan las cookies de autenticación de los sitios de Google, así como un token especial que puede emplearse para actualizar o generar nuevos tokens de autenticación.

A medida que las cookies de autenticación convencionales alcanzan su fecha de caducidad después de un período específico, dejan de ser efectivas para los actores de amenazas. Sin embargo, mientras el usuario no cierre sesión en Google Chrome o revoque todas las sesiones vinculadas a sus cuentas, estos actores pueden utilizar el token especial denominado "Actualizar" para generar nuevos tokens de autenticación una vez que los anteriores hayan expirado.
Estos recién generados tokens posibilitan que los atacantes mantengan el acceso a las cuentas durante un periodo mucho más extenso de lo que normalmente sería permitido.

No solo se trata del robo de cookies convencionales

Desafortunadamente, Google percibe este uso indebido de la API como un robo de cookies habitual a través de malware.

"Google está al tanto de los informes recientes sobre una familia de malware que sustrae tokens de sesión", declaró Google a BleepingComputer en un comunicado la semana pasada.

"Los ataques que involucran malware que roba cookies y tokens no son novedosos; actualizamos regularmente nuestras defensas contra tales técnicas para proteger a los usuarios afectados por malware. En este caso, Google ha tomado medidas para salvaguardar las cuentas comprometidas identificadas".

No obstante, fuentes familiarizadas con el asunto le informaron a BleepingComputer que Google considera que la API está operando según lo previsto y que el malware no está explotando ninguna vulnerabilidad.

La solución propuesta por Google para abordar este problema consiste simplemente en que los usuarios cierren sesión en su navegador Chrome desde el dispositivo afectado o eliminen todas las sesiones activas a través de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login. Al hacerlo, se invalida el token de actualización, volviéndolo inutilizable con la API.

Dado que el malware de robo de información ha capturado las credenciales, se aconseja cambiar la contraseña de Google como medida de precaución, especialmente si se utilizan las mismas credenciales en otros sitios.

"Mientras tanto, los usuarios deben tomar medidas continuas para eliminar cualquier rastro de malware de sus computadoras, y recomendamos activar la navegación segura mejorada en Chrome para protegerse contra el phishing y las descargas de malware", aconseja Google.

A pesar de que estos pasos recomendados pueden reducir el impacto de las infecciones de malware de robo de información, la mayoría de las personas infectadas con este tipo de malware no detectarán cuándo deben realizar estos procedimientos.

Por lo general, las personas no se percatan de que han sido víctimas de malware de robo de información hasta que se accede sin autorización a sus cuentas y se abusan de ellas de manera detectable.

Un ejemplo es el caso de un empleado de Orange España, el segundo proveedor de telefonía móvil más grande del país, cuyas contraseñas fueron sustraídas mediante un malware de robo de información. Sin embargo, nadie lo supo hasta que las credenciales robadas se utilizaron para acceder a la cuenta RIPE de la empresa y modificar su configuración de BGP, lo que resultó en un impacto del 50% en el rendimiento y cortes de Internet para los clientes de Orange.

Aunque Google afirma haber identificado a aquellos afectados por el mal uso de esta API y les ha enviado notificaciones, surge la pregunta sobre qué ocurrirá con las posibles futuras víctimas.

Además, la incertidumbre recae en cómo los usuarios podrán saber que deben cerrar sesión en su navegador para invalidar los tokens de autenticación si ni siquiera son conscientes de que fueron infectados en primer lugar.

Por esta razón, una solución más efectiva sería restringir de alguna manera el acceso a esta API para prevenir su mal uso por parte de operaciones de malware como servicio. Lamentablemente, no se vislumbra que esto esté siendo implementado.

BleepingComputer ha consultado a Google sobre sus planes para mitigar este abuso de la API, pero hasta el momento no ha obtenido respuesta a estas preguntas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ivanti ha lanzado actualizaciones de seguridad destinadas a abordar una vulnerabilidad crítica que impacta su solución Endpoint Manager (EPM). En caso de ser explotada con éxito, esta falla podría dar lugar a la ejecución remota de código (RCE) en servidores vulnerables.

Identificada como CVE-2023-39336, la vulnerabilidad ha sido evaluada con una puntuación de 9.6 sobre 10 en el Sistema de Puntuación CVSS. Esta deficiencia afecta a las versiones EPM 2021 y EPM 2022 anteriores a SU5.

En un comunicado, Ivanti mencionó: "En caso de explotación, un atacante con acceso a la red interna puede aprovechar una inyección SQL no especificada para ejecutar consultas SQL arbitrarias y recuperar resultados sin necesidad de autenticación".

"Esto posibilitaría al atacante tener control sobre las máquinas que ejecutan el agente de EPM. En situaciones en las que el servidor central está configurado para utilizar SQL Express, esta circunstancia podría derivar en la ejecución remota de código (RCE) en el servidor central".

La divulgación de esta información ocurrió semanas después de que la empresa abordara casi veinticuatro problemas de seguridad en su solución de administración de dispositivos móviles empresariales (MDM) Avalanche.

De los 21 problemas identificados, 13 han sido categorizados como críticos, con puntuaciones CVSS de 9.8, y se han definido como desbordamientos de búfer no autenticados. Todos estos problemas han sido corregidos en la versión 6.4.2 de Avalanche.

Ivanti explicó: "Un atacante que envíe paquetes de datos especialmente diseñados al servidor de dispositivos móviles puede causar daños en la memoria, lo que podría dar lugar a una denegación de servicio (DoS) o incluso a la ejecución de código".

Aunque no hay pruebas de que las vulnerabilidades mencionadas anteriormente hayan sido aprovechadas en situaciones reales, es conocido que en el pasado, actores respaldados por el estado han empleado exploits de día cero (CVE-2023-35078 y CVE-2023-35081) en Ivanti Endpoint Manager Mobile (EPMM) para infiltrarse en las redes de diversas organizaciones gubernamentales noruegas.

En agosto de 2023, se registró la explotación activa como día cero de otra vulnerabilidad crítica en el producto Ivanti Sentry (CVE-2023-38035, con una puntuación CVSS de 9.8 ).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los expertos en seguridad cibernética han identificado recientemente una nueva puerta trasera en el sistema operativo Apple macOS, denominada SpectralBlur, la cual presenta una conexión con una reconocida familia de malware previamente asociada a actores de amenazas de Corea del Norte.

Greg Lesnewich, un investigador de seguridad, describió a SpectralBlur como una puerta trasera con capacidades moderadas, capaz de cargar y descargar archivos, ejecutar un shell, actualizar su configuración, eliminar archivos, hibernar o entrar en modo de reposo, todo ello basado en comandos emitidos desde el servidor de comando y control.

Se han observado similitudes entre este malware y KANDYKORN (también conocido como SockRacket), un implante avanzado que opera como un troyano de acceso remoto con la capacidad de tomar el control de un sistema comprometido.
Es importante destacar que la actividad asociada a KANDYKORN también se entrelaza con otra campaña llevada a cabo por el subgrupo Lazarus, conocido como BlueNoroff (o TA444), que culmina con la implementación de una puerta trasera llamada RustBucket y una carga útil final denominada ObjCShellz.

En los meses recientes, se ha observado cómo el actor de amenazas combina componentes diversos de estas dos cadenas de infección, utilizando los cuentagotas de RustBucket para la entrega de KANDYKORN.

Estos recientes descubrimientos indican que los actores de amenazas vinculados a Corea del Norte están incrementando su interés en macOS para infiltrarse en objetivos de alto valor, especialmente aquellos dentro de las industrias de criptomonedas y blockchain.

Greg Lesnewich comentó: "TA444 continúa operando de manera rápida y agresiva con estas nuevas familias de malware diseñadas para macOS".

Patrick Wardle, un investigador de seguridad que compartió detalles adicionales sobre el funcionamiento interno de SpectralBlur, informó que el binario Mach-O fue subido al servicio de escaneo de malware VirusTotal en agosto de 2023 desde Colombia.

Dadas las similitudes funcionales entre KANDYKORN y SpectralBlur, ha surgido la posibilidad de que hayan sido desarrollados por diferentes creadores con base en los mismos requisitos.
Lo que distingue a este malware es su enfoque en entorpecer el análisis y eludir la detección, utilizando grantpt para establecer un pseudoterminal y ejecutar comandos de shell que recibe del servidor de comando y control (C2).

Esta revelación se produce en un contexto en el que, en 2023, se identificaron un total de 21 nuevas familias de malware diseñadas para atacar sistemas macOS. Estas incluyen ransomware, ladrones de información, troyanos de acceso remoto y malware respaldado por estados-nación, en comparación con las 13 identificadas en 2022.

"Con el crecimiento continuo y la creciente popularidad de macOS, especialmente en entornos empresariales, es probable que 2024 vea la aparición de una gran cantidad de nuevo malware dirigido a macOS", señaló Patrick Wardle.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El informe más reciente de Gcore Radar y sus secuelas han puesto de manifiesto un aumento drástico de los ataques DDoS en múltiples sectores. A principios de 2023, la fuerza media de los ataques alcanzaba los 800 Gbps, pero ahora, incluso un pico de hasta 1,5+ Tbps no es sorprendente. Para tratar de romper las defensas de Gcore, los perpetradores hicieron dos intentos con dos estrategias diferentes. Siga leyendo para descubrir lo que sucedió y descubra cómo el proveedor de seguridad detuvo a los atacantes en seco sin afectar la experiencia de los usuarios finales.

Un potente ataque DDoS

En noviembre de 2023, uno de los clientes de Gcore de la industria del juego fue objeto de dos ataques DDoS masivos, con un máximo de 1,1 y 1,6 Tbps respectivamente. Los atacantes desplegaron varias técnicas en un intento infructuoso de comprometer los mecanismos de protección de Gcore.

Ataque #1: DDoS basado en UDP de 1,1 Tbps

En el primer ataque cibernético, los atacantes enviaron un aluvión de tráfico UDP a un servidor objetivo, con un máximo de 1,1 Tbps. Se emplearon dos métodos:

• Mediante el uso de puertos de origen UDP aleatorios, esperaban evadir los mecanismos de filtrado convencionales.
• Los atacantes ocultaron su identidad genuina falsificando las direcciones IP de origen.

Se trataba de un ataque clásico de inundación (o volumétrico), en el que los atacantes esperaban consumir todo el ancho de banda disponible de un centro de datos o red, abrumando los servidores objetivo con tráfico y haciéndolos no disponibles para los usuarios legítimos.

El siguiente gráfico muestra el tráfico del cliente durante el ataque. El pico de 1,1 Tbps muestra un intento agresivo pero de corta duración de inundar la red con datos. La línea verde ("total.general.input") muestra todo el tráfico entrante. Las otras líneas de colores en el gráfico representan las respuestas de la red, incluidas las medidas para filtrar y descartar el tráfico malicioso, a medida que el sistema administra la avalancha de datos.


Ataque #2: DDoS basado en TCP de 1,6 Tbps


Esta vez, los atacantes intentaron explotar el protocolo TCP con una combinación de tráfico SYN flood, PSH y ACK.

En un ataque de inundación SYN, varios paquetes SYN se entregan al servidor de destino sin paquetes ACK. Esto significa que el servidor genera una conexión semiabierta para cada paquete SYN. Si tiene éxito, el servidor finalmente se quedará sin recursos y dejará de aceptar conexiones.

La fase PSH, ACK del ataque envía rápidamente datos al sistema objetivo. El indicador ACK indica que el servidor recibió el paquete anterior. Esto empuja al sistema a manejar los datos con prontitud, desperdiciando recursos. Un ataque de inundación SYN que utiliza paquetes PSH, ACK es más difícil de defender que una inundación SYN, ya que el indicador PSH hace que el servidor procese el contenido del paquete inmediatamente, consumiendo más recursos.

Al igual que antes, el objetivo era sobrecargar los servidores del cliente y hacer que sus servicios fueran inaccesibles para los usuarios autorizados. Esta inundación SYN tuvo un volumen máximo de 685,77 Mbps y el PSH, ACK tuvo una magnitud de 906,73 Mbps.

Estrategias defensivas de Gcore

La protección DDoS de Gcore neutralizó eficazmente ambos ataques al tiempo que preservó el servicio regular para los usuarios finales del cliente. El enfoque general para defenderse de las amenazas de seguridad DDoS incluye varias técnicas, como las defensas de primera línea de Gcore:

• Conformado dinámico del tráfico: Las tasas de tráfico ajustadas dinámicamente mitigan eficazmente el impacto del ataque al tiempo que garantizan la continuidad de los servicios críticos. Con el fin de priorizar el tráfico genuino y ralentizar las transmisiones dañinas, se utilizan umbrales adaptativos y restricciones de velocidad.
• Detección de anomalías y cuarentena: Los modelos basados en el aprendizaje automático analizan el comportamiento para identificar anomalías. Cuando se produce una anomalía, los mecanismos de cuarentena automatizados redirigen el tráfico erróneo a segmentos aislados para un análisis adicional.
• Filtros de expresiones regulares: Para bloquear cargas malintencionadas sin interrumpir el tráfico legítimo, se implementan reglas de filtro basadas en expresiones regulares. Su ajuste fino continuo garantiza una protección óptima sin falsos positivos.
• Inteligencia colaborativa de amenazas: Gcore participa activamente en el intercambio de inteligencia de amenazas con sus pares de la industria. Los conocimientos colectivos y las fuentes de amenazas en tiempo real guían las técnicas de seguridad de Gcore, lo que permite una respuesta rápida a los vectores de ataque en desarrollo.

Al emplear estas estrategias, Gcore pudo mitigar eficazmente el impacto de los ataques DDoS y proteger la plataforma de sus clientes de las interrupciones, anulando posibles pérdidas financieras y de reputación.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Varias vulnerabilidades de seguridad denominadas colectivamente LogoFAIL afectan a los componentes de análisis de imágenes en el código UEFI de varios proveedores. Los investigadores advierten que podrían ser explotados para secuestrar el flujo de ejecución del proceso de arranque y para entregar bootkits.

Debido a que los problemas se encuentran en las bibliotecas de análisis de imágenes, que los proveedores usan para mostrar logotipos durante la rutina de arranque, tienen un amplio impacto y se extienden a las arquitecturas x86 y ARM.

Según los investigadores de la plataforma de seguridad de la cadena de suministro de firmware Binarly, la marca ha introducido riesgos de seguridad innecesarios, lo que permite ejecutar cargas útiles maliciosas mediante la inyección de archivos de imagen en la partición del sistema EFI (ESP).

Descubrimiento e impacto de LogoFAIL
El abuso de los analizadores de imágenes para ataques a la Interfaz Unificada de Firmware Extensible (UEFI) se demostró en 2009 cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentaron cómo se podía explotar un error del analizador de imágenes BMP para infectar el BIOS para la persistencia del malware.

El descubrimiento de las vulnerabilidades de LogoFAIL comenzó como un pequeño proyecto de investigación sobre superficies de ataque de componentes de análisis de imágenes en el contexto de código de análisis personalizado u obsoleto en el firmware UEFI.

Los investigadores descubrieron que un atacante podría almacenar una imagen o logotipo malicioso en la partición del sistema EFI (ESP) o en secciones sin firmar de una actualización de firmware.



La plantación de malware de esta manera garantiza la persistencia en el sistema que prácticamente no se detecta, como se ilustra en ataques anteriores que aprovechan los componentes UEFI infectados [1, 2].

LogoFAIL no afecta a la integridad del tiempo de ejecución porque no hay necesidad de modificar el gestor de arranque o el firmware, un método visto con la vulnerabilidad BootHole o el bootkit BlackLotus.

En un vídeo que Binarly compartió de forma privada con BleepingComputer, la ejecución del script de prueba de concepto (PoC) y el reinicio del dispositivo dieron como resultado la creación de un archivo arbitrario en el sistema.

Los investigadores destacan que, debido a que no es específico del silicio, las vulnerabilidades de LogoFAIL afectan a los proveedores y chips de múltiples fabricantes. Los problemas están presentes en los productos de muchos de los principales fabricantes de dispositivos que utilizan firmware UEFI en dispositivos de consumo y de nivel empresarial.

Binarly ya ha determinado que cientos de dispositivos de Intel, Acer, Lenovo y otros proveedores son potencialmente vulnerables, al igual que los tres principales proveedores independientes de código de firmware UEFI personalizado: AMI, Insyde y Phoenix.

Sin embargo, también vale la pena señalar que el alcance exacto del impacto de LogoFAIL aún se está determinando.

"Si bien todavía estamos en el proceso de comprender el alcance real de LogoFAIL, ya descubrimos que cientos de dispositivos de consumo y de nivel empresarial son posiblemente vulnerables a este nuevo ataque", dicen los investigadores.

Los detalles técnicos completos de LogoFAIL se presentarán el 6 de diciembre en la conferencia de seguridad Black Hat Europe en Londres.

De acuerdo con el resumen de la presentación de LogoFAIL, los investigadores revelaron sus hallazgos a múltiples proveedores de dispositivos (Intel, Acer, Lenovo) y a los tres principales proveedores de UEFI.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha comenzado a implementar su asistente Copilot AI en Windows 10 con la actualización preliminar no relacionada con la seguridad del KB5032278 de noviembre de 2023 para sistemas que ejecutan Windows 10, versión 22H2.

Hace dos semanas, la compañía presentó Copilot a Windows 10 Insiders con sistemas no administrados elegibles que ejecutan las ediciones Windows 10 22H2 Home y Pro.

El asistente de IA se presentó por primera vez en septiembre, inicialmente disponible en dispositivos Windows 11 22H2 y ahora habilitado de forma predeterminada en dispositivos Windows 11 23H2.

La versión preliminar de Copilot en Windows 10 ahora se está implementando solo en algunos mercados globales. América del Norte, partes de Asia y América del Sur son los mercados principales para esta versión preliminar, y otros adicionales se unirán gradualmente al lanzamiento más adelante.

"Si está interesado en experimentar Copilot en Windows lo antes posible, puede hacerlo yendo a Configuración > Actualización y seguridad > Windows Update. Activa "Obtener las últimas actualizaciones tan pronto como estén disponibles" y Buscar actualizaciones", dijo Microsoft.

Como Microsoft agregó el jueves, Copilot en Windows es incompatible con los sistemas Windows donde la barra de tareas se coloca verticalmente en el lado derecho o izquierdo de la pantalla.

"Para acceder a Copilot en Windows, asegúrese de que la barra de tareas esté colocada horizontalmente en la parte superior o inferior de la pantalla. Estamos trabajando en una resolución y proporcionaremos una actualización en una próxima versión", dijo Redmond.

Es importante tener en cuenta que las actualizaciones mensuales "C" como KB5032278 son opcionales y, a diferencia de las actualizaciones de seguridad de Patch Tuesday, no vienen con correcciones para fallas de seguridad.

Aquellos que quieran instalar la versión preliminar de actualización acumulativa de este mes pueden ir a Configuración > Windows Update y hacer clic en 'Descargar e instalar' después de buscar actualizaciones.

También puede descargar la actualización desde el catálogo de Microsoft Update para instalarla manualmente.


Otros aspectos destacados de la actualización de la versión preliminar de noviembre

La versión acumulativa opcional de Windows 10 KB5032278 también viene con mejoras y 18 correcciones de errores, algunas de las más significativas que se destacan a continuación:

• Si usas dispositivos Home o Pro-consumer o dispositivos empresariales no administrados, puedes obtener algunas de las experiencias más recientes tan pronto como estén listas. Para hacerlo, vaya a Configuración > Actualización y seguridad > Windows Update. Activa la opción Obtener las últimas actualizaciones tan pronto como estén disponibles.
• Esta actualización agrega una nueva funcionalidad que afecta a los valores predeterminados de la aplicación.
• Esta actualización agrega notificaciones de suscripción de Windows Update a la pantalla al iniciar sesión.
• Esta actualización soluciona un problema que hace que el modo IE deje de responder. Esto ocurre cuando tiene varias pestañas del modo IE abiertas.
• Esta actualización soluciona un problema que afecta al cursor. Su movimiento se retrasa en algunos escenarios de captura de pantalla.
• Esta actualización soluciona un problema que afecta al teclado táctil. Es posible que no aparezca durante la configuración rápida (OOBE).

Puede encontrar la lista completa de correcciones y mejoras incluidas con esta actualización preliminar en el boletín de soporte técnico de KB5026436 publicado por Microsoft el día de hoy.

Redmond también dijo el jueves que se omitirá la actualización de vista previa de diciembre de 2023, y que la compañía reanudará el ciclo de lanzamiento habitual en enero.

"Debido a la reducción de las operaciones durante las vacaciones occidentales y el próximo año nuevo, no habrá una versión preliminar que no sea de seguridad para el mes de diciembre de 2023", dijo Microsoft.

"Habrá un lanzamiento de seguridad mensual para diciembre de 2023. El servicio mensual normal para las versiones preliminares de seguridad y no de seguridad se reanudará en enero de 2024".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto un nuevo malware para Android llamado FjordPhantom que utiliza la virtualización para ejecutar código malicioso en un contenedor y evadir la detección.

El malware fue descubierto por Promon, cuyos analistas informan que actualmente se propaga a través de correos electrónicos, SMS y aplicaciones de mensajería dirigidas a aplicaciones bancarias en Indonesia, Tailandia, Vietnam, Singapur y Malasia.

Se engaña a las víctimas para que descarguen lo que parecen ser aplicaciones bancarias legítimas, pero que contienen código malicioso que se ejecuta en un entorno virtual para atacar la aplicación bancaria real.

FjordPhantom tiene como objetivo robar credenciales de cuentas bancarias en línea y manipular transacciones mediante la realización de fraudes en el dispositivo.

El informe de Promon destaca un caso en el que FjordPhantom robó 280.000 dólares de una sola víctima, lo que fue posible gracias a la combinación de la naturaleza evasiva del malware con la ingeniería social, como las llamadas supuestamente de los agentes de servicio al cliente de los bancos.

Virtualización como evasión en Android

En Android, varias aplicaciones pueden ejecutarse en entornos aislados conocidos como "contenedores" por razones legítimas, como ejecutar varias instancias de la misma aplicación con diferentes cuentas.

FjordPhantom incorpora una solución de virtualización de proyectos de código abierto para crear un contenedor virtual en el dispositivo sin que el usuario lo sepa.

Al iniciarse, el malware instala el APK de la aplicación bancaria que el usuario pretendía descargar y ejecuta código malicioso dentro del mismo contenedor, convirtiéndolo en parte del proceso de confianza.

Con la aplicación bancaria ejecutándose dentro de su contenedor virtual, FjordPhantom puede inyectar su código para enganchar API clave que le permiten capturar credenciales, manipular transacciones, interceptar información confidencial, etc.

En algunas aplicaciones, el marco de enganche del malware también manipula los elementos de la interfaz de usuario para cerrar automáticamente los cuadros de diálogo de advertencia y mantener a la víctima inconsciente del compromiso.


Promon señala que este truco de virtualización rompe el concepto de seguridad 'Android Sandbox', que evita que las aplicaciones accedan a los datos de las demás o interfieran con sus operaciones, ya que las aplicaciones dentro de un contenedor comparten la misma caja de arena.

Este es un ataque particularmente astuto porque la aplicación bancaria en sí no se modifica, por lo que la detección de manipulación de código no ayuda a detectar la amenaza.

Además, al enganchar las API relacionadas con GooglePlayServices, para que parezcan no estar disponibles en el dispositivo, FjordPhantom dificulta las comprobaciones de seguridad relacionadas con la raíz.

Los ganchos del malware incluso se extienden al registro, lo que puede proporcionar consejos a los desarrolladores sobre cómo realizar ataques más específicos en diferentes aplicaciones.

Promon comenta que esta es una señal de desarrollo activo, elevando el riesgo de que FjordPhantom amplíe su alcance de orientación más allá de los países mencionados en futuras versiones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Zyxel ha abordado múltiples problemas de seguridad, incluidos tres críticos que podrían permitir que un atacante no autenticado ejecute comandos del sistema operativo en dispositivos vulnerables de almacenamiento conectado a la red (NAS).

Los sistemas NAS de Zyxel se utilizan para almacenar datos en una ubicación centralizada en la red. Están diseñados para grandes volúmenes de datos y ofrecen funciones como copia de seguridad de datos, transmisión de medios u opciones de uso compartido personalizadas.

Los usuarios típicos de Zyxel NAS incluyen pequeñas y medianas empresas que buscan una solución que combine funciones de gestión de datos, trabajo remoto y colaboración, así como profesionales de TI que configuran sistemas de redundancia de datos, o videógrafos y artistas digitales que trabajan con archivos grandes.

En un boletín de seguridad publicado hoy, el proveedor advierte de los siguientes fallos que afectan a los dispositivos NAS326 que ejecutan la versión 5.21(AAZF.14)C0 y anteriores, y a los NAS542 con la versión 5.21(ABAG.11)C0 y anteriores.

• CVE-2023-35137: Vulnerabilidad de autenticación incorrecta en el módulo de autenticación de los dispositivos Zyxel NAS, que permite a los atacantes no autenticados obtener información del sistema a través de una URL diseñada. (puntuación de gravedad alta de 7,5)
• CVE-2023-35138: Fallo de inyección de comandos en la función "show_zysync_server_contents" en los dispositivos NAS Zyxel, lo que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una solicitud HTTP POST elaborada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-37927: Vulnerabilidad en el programa CGI de los dispositivos Zyxel NAS, que permite a los atacantes autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-37928: Inyección de comandos posterior a la autenticación en el servidor WSGI de los dispositivos NAS Zyxel, lo que permite a los atacantes autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad alta de 8,8)
• CVE-2023-4473: Fallo de inyección de comandos en el servidor web de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo a través de una URL diseñada. (puntuación de gravedad crítica de 9,8)
• CVE-2023-4474: Vulnerabilidad en el servidor WSGI de los dispositivos NAS Zyxel, que permite a los atacantes no autenticados ejecutar comandos del sistema operativo con una URL diseñada. (puntuación de gravedad crítica de 9,8)

Los actores de amenazas podrían explotar las vulnerabilidades anteriores para obtener acceso no autorizado, ejecutar algunos comandos del sistema operativo, obtener información confidencial del sistema o tomar el control completo de los dispositivos NAS Zyxel afectados.

Para hacer frente a estos riesgos, se recomienda a los usuarios de NAS326 que actualicen a la versión V5.21(AAZF.15)C0 o posterior. Los usuarios de NAS542 deben actualizar su firmware a V5.21(ABAG.12)C0 o posterior, lo que corrige los defectos anteriores.

El proveedor no ha proporcionado ningún consejo de mitigación ni soluciones alternativas, siendo una actualización de firmware la acción recomendada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado una campaña de ransomware CACTUS que explota fallas de seguridad recientemente reveladas en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para obtener un punto de apoyo en entornos específicos.

"Esta campaña marca el primer caso documentado [...] donde los actores de amenazas que implementan el ransomware CACTUS han explotado vulnerabilidades en Qlik Sense para el acceso inicial", dijeron los investigadores de Arctic Wolf Stefan Hostetler, Markus Neis y Kyle Pagelow.

La compañía de ciberseguridad, que dijo que está respondiendo a "varios casos" de explotación del software, señaló que es probable que los ataques se aprovechen de tres fallas que se han revelado en los últimos tres meses:

• CVE-2023-41265 (puntuación CVSS: 9,9): una vulnerabilidad de tunelización de solicitudes HTTP que permite a un atacante remoto elevar sus privilegios y enviar solicitudes que son ejecutadas por el servidor backend que aloja la aplicación de repositorio.
• CVE-2023-41266 (puntuación CVSS: 6,5): una vulnerabilidad de recorrido de ruta que permite a un atacante remoto no autenticado transmitir solicitudes HTTP a puntos de conexión no autorizados.
• CVE-2023-48365 (puntuación CVSS: 9,9): una vulnerabilidad de ejecución remota de código no autenticada que surge debido a una validación incorrecta de encabezados HTTP, lo que permite a un atacante remoto elevar sus privilegios mediante la tunelización de solicitudes HTTP.

Vale la pena señalar que CVE-2023-48365 es el resultado de un parche incompleto para CVE-2023-41265, que junto con CVE-2023-41266, fue revelado por Praetorian a fines de agosto de 2023. El 2023 de noviembre de 48365 se envió una corrección para CVE-20-2023.

En los ataques observados por Arctic Wolf, una explotación exitosa de las fallas es seguida por el abuso del servicio Qlik Sense Scheduler para generar procesos que están diseñados para descargar herramientas adicionales con el objetivo de establecer la persistencia y configurar el control remoto.

Esto incluye ManageEngine Unified Endpoint Management and Security (UEMS), AnyDesk y Plink. También se ha observado que los actores de amenazas desinstalan el software de Sophos, cambian la contraseña de la cuenta de administrador y crean un túnel RDP a través de Plink.

Las cadenas de ataque culminan con el despliegue del ransomware CACTUS, y los atacantes también utilizan rclone para la exfiltración de datos.

El panorama del ransomware en constante evolución

La revelación se produce a medida que el panorama de amenazas de ransomware se ha vuelto más sofisticado y la economía clandestina ha evolucionado para facilitar los ataques a escala a través de una red de corredores de acceso inicial y propietarios de botnets que revenden el acceso a los sistemas de las víctimas a varios actores afiliados.

Según los datos recopilados por la empresa de ciberseguridad industrial Dragos, el número de ataques de ransomware que afectan a las organizaciones industriales disminuyó de 253 en el segundo trimestre de 2023 a 231 en el tercer trimestre. Por el contrario, solo en el mes de octubre de 318 se registraron 2023 ataques de ransomware en todos los sectores.

A pesar de los esfuerzos continuos de los gobiernos de todo el mundo para hacer frente al ransomware, el modelo de negocio del ransomware como servicio (RaaS) ha seguido siendo una vía duradera y lucrativa para extorsionar a los objetivos.

Se estima que Black Basta, un prolífico grupo de ransomware que entró en escena en abril de 2022, ha obtenido ganancias ilegales por una suma de al menos USD 107 millones en pagos de rescate de Bitcoin de más de 90 víctimas, según una nueva investigación conjunta publicada por Elliptic y Corvus Insurance.

La mayoría de estos ingresos se blanquearon a través de Garantex, un exchange de criptomonedas ruso que fue sancionado por el gobierno de Estados Unidos en abril de 2022 por facilitar las transacciones con el mercado de la darknet de Hydra.

Además, el análisis descubrió pruebas que vinculaban a Black Basta con el ahora desaparecido grupo ruso de ciberdelincuencia Conti, que dejó de funcionar casi al mismo tiempo que surgió el primero, así como con QakBot, que se utilizó para desplegar el ransomware.

"Aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que estuvieron involucrados en proporcionar acceso a la víctima", señaló Elliptic, y agregó que "rastreó Bitcoin por valor de varios millones de dólares desde billeteras vinculadas a Conti hasta las asociadas con el operador Black Basta".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google ha revelado un nuevo vectorizador de texto multilingüe llamado RETVec (abreviatura de Resilient and Efficient Text Vectorizer) para ayudar a detectar contenido potencialmente dañino como spam y correos electrónicos maliciosos en Gmail.

"RETVec está entrenado para ser resistente a las manipulaciones a nivel de caracteres, incluida la inserción, la eliminación, los errores tipográficos, los homoglifos, la sustitución de LEET y más", según la descripción del proyecto en GitHub.

"El modelo RETVec se entrena sobre un novedoso codificador de caracteres que puede codificar todos los caracteres y palabras UTF-8 de manera eficiente".

Si bien grandes plataformas como Gmail y YouTube se basan en modelos de clasificación de texto para detectar ataques de phishing, comentarios inapropiados y estafas, se sabe que los actores de amenazas diseñan contraestrategias para eludir estas medidas de defensa.

Se ha observado que recurren a manipulaciones de texto adversariales, que van desde el uso de homoglifos hasta el relleno de palabras clave y caracteres invisibles.

RETVec, que funciona en más de 100 idiomas listos para usar, tiene como objetivo ayudar a crear clasificadores de texto más resistentes y eficientes en el lado del servidor y en el dispositivo, al mismo tiempo que son más robustos y eficientes.

La vectorización es una metodología en el procesamiento del lenguaje natural (PLN) para asignar palabras o frases del vocabulario a una representación numérica correspondiente con el fin de realizar análisis adicionales, como el análisis de sentimientos, la clasificación de texto y el reconocimiento de entidades con nombre.


"Debido a su novedosa arquitectura, RETVec funciona de forma inmediata en todos los idiomas y en todos los caracteres UTF-8 sin necesidad de preprocesamiento de texto, lo que lo convierte en el candidato ideal para implementaciones de clasificación de texto en dispositivos, web y a gran escala", señalaron Elie Bursztein y Marina Zhang de Google.

El gigante tecnológico dijo que la integración del vectorizador a Gmail mejoró la tasa de detección de spam sobre la línea de base en un 38% y redujo la tasa de falsos positivos en un 19,4%. También redujo el uso de la Unidad de Procesamiento de Tensores (TPU) del modelo en un 83%.

"Los modelos entrenados con RETVec exhiben una velocidad de inferencia más rápida debido a su representación compacta. Tener modelos más pequeños reduce los costos computacionales y disminuye la latencia, lo cual es fundamental para las aplicaciones a gran escala y los modelos en el dispositivo", agregaron Bursztein y Zhang.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que una variante de una cepa de ransomware conocida como DJVU se distribuye en forma de software crackeado.

"Si bien este patrón de ataque no es nuevo, se han observado incidentes que involucran una variante de DJVU que agrega la extensión .xaro a los archivos afectados y exige un rescate por un descifrador que infecta los sistemas junto con una gran cantidad de cargadores de productos básicos y ladrones de información", dijo el investigador de seguridad de Cybereason, Ralph Villanueva.

La nueva variante ha sido bautizada como Xaro por la firma estadounidense de ciberseguridad.

DJVU, en sí mismo una variante del ransomware STOP, suele aparecer en escena haciéndose pasar por servicios o aplicaciones legítimos. También se entrega como una carga útil de SmokeLoader.

Un aspecto importante de los ataques DJVU es el despliegue de malware adicional, como ladrones de información (por ejemplo, RedLine Stealer y Vidar), lo que los hace más dañinos por naturaleza.

En la última cadena de ataque documentada por Cybereason, Xaro se propaga como un archivo comprimido de una fuente dudosa que se hace pasar por un sitio que ofrece software gratuito legítimo.

Abrir el archivo comprimido conduce a la ejecución de un supuesto binario de instalación para un software de escritura de PDF llamado CutePDF que, en realidad, es un servicio de descarga de malware de pago por instalación conocido como PrivateLoader.

PrivateLoader, por su parte, establece contacto con un servidor de comando y control (C2) para obtener una amplia gama de familias de malware de robo y cargador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig y Fabookie, además de eliminar Xaro.

"Este enfoque de escopeta para la descarga y ejecución de malware básico se observa comúnmente en las infecciones de PrivateLoader que se originan en sitios sospechosos de software gratuito o crackeado", explicó Villanueva.

El objetivo parece ser recopilar y exfiltrar información confidencial para una doble extorsión, así como garantizar el éxito del ataque, incluso si una de las cargas útiles es bloqueada por el software de seguridad.

Xaro, además de generar una instancia del ladrón de información Vidar, es capaz de cifrar archivos en el host infectado, antes de dejar caer una nota de rescate, instando a la víctima a ponerse en contacto con el actor de amenazas para pagar $ 980 por la clave privada y la herramienta de descifrado, un precio que se reduce en un 50% a $ 490 si se aborda dentro de las 72 horas.

En todo caso, la actividad ilustra los riesgos que conlleva la descarga de software gratuito de fuentes no confiables. El mes pasado, Sucuri detalló otra campaña llamada FakeUpdateRU en la que los visitantes de sitios web comprometidos reciben avisos falsos de actualización del navegador para entregar RedLine Stealer.

"Se sabe que los actores de amenazas favorecen el software gratuito disfrazado como una forma de implementar código malicioso de forma encubierta", dijo Villanueva. "La velocidad y la amplitud del impacto en las máquinas infectadas deben ser comprendidas cuidadosamente por las redes empresariales que buscan defenderse a sí mismas y a sus datos".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La falla de seguridad crítica recientemente revelada que afecta a Apache ActiveMQ está siendo explotada activamente por los actores de amenazas para distribuir una nueva botnet basada en Go llamada GoTitan, así como un programa .NET conocido como PrCtrl Rat que es capaz de apoderarse de forma remota de los hosts infectados.

Los ataques implican la explotación de un error de ejecución remota de código (CVE-2023-46604, puntuación CVSS: 10.0) que ha sido utilizado como arma por varios equipos de piratas informáticos, incluido Lazarus Group, en las últimas semanas.

Después de una violación exitosa, se ha observado que los actores de amenazas sueltan cargas útiles de la siguiente etapa desde un servidor remoto, uno de los cuales es GoTitan, una botnet diseñada para orquestar ataques de denegación de servicio distribuido (DDoS) a través de protocolos como HTTP, UDP, TCP y TLS.

"El atacante solo proporciona binarios para arquitecturas x64, y el malware realiza algunas comprobaciones antes de ejecutarse", dijo la investigadora de Fortinet Fortiguard Labs, Cara Lin, en un análisis del martes.

"También crea un archivo llamado 'c.log' que registra el tiempo de ejecución y el estado del programa. Este archivo parece ser un registro de depuración para el desarrollador, lo que sugiere que GoTitan todavía se encuentra en una etapa temprana de desarrollo".


Fortinet dijo que también observó casos en los que los servidores Apache ActiveMQ susceptibles están siendo atacados para implementar otra botnet DDoS llamada Ddostf, malware Kinsing para cryptojacking y un marco de comando y control (C2) llamado Sliver.

Otro malware notable entregado es un troyano de acceso remoto denominado PrCtrl Rat que establece contacto con un servidor C2 para recibir comandos adicionales para su ejecución en el sistema, recolectar archivos y descargar y cargar archivos desde y hacia el servidor.

"Al momento de escribir este artículo, aún no hemos recibido ningún mensaje del servidor, y el motivo detrás de la difusión de esta herramienta sigue sin estar claro", dijo Lin. "Sin embargo, una vez que se infiltra en el entorno de un usuario, el servidor remoto obtiene el control del sistema".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de Eurecom han desarrollado seis nuevos ataques denominados colectivamente 'BLUFFS' que pueden romper el secreto de las sesiones de Bluetooth, lo que permite la suplantación de dispositivos y los ataques de intermediario (MitM).

Daniele Antonioli, quien descubrió los ataques, explica que BLUFFS explota dos fallas previamente desconocidas en el estándar Bluetooth relacionadas con la forma en que se derivan las claves de sesión para descifrar los datos a cambio.

Estas fallas no son específicas de las configuraciones de hardware o software, sino que son arquitectónicas, lo que significa que afectan a Bluetooth en un nivel fundamental.

Los problemas se rastrean con el identificador CVE-2023-24023 y afectan a las especificaciones principales de Bluetooth 4.2 a 5.4.

Teniendo en cuenta el uso generalizado del estándar de comunicación inalámbrica bien establecido y las versiones afectadas por los exploits, BLUFFS podría funcionar contra miles de millones de dispositivos, incluidas computadoras portátiles, teléfonos inteligentes y otros dispositivos móviles.

Cómo funciona BLUFFS

BLUFFS es una serie de exploits dirigidos a Bluetooth, con el objetivo de romper el secreto de las sesiones de Bluetooth hacia adelante y hacia el futuro, comprometiendo la confidencialidad de las comunicaciones pasadas y futuras entre dispositivos.

Esto se logra explotando cuatro fallas en el proceso de derivación de claves de sesión, dos de las cuales son nuevas, para forzar la derivación de una clave de sesión (SKC) corta, débil y predecible.

A continuación, el atacante fuerza bruta la clave, lo que le permite descifrar las comunicaciones pasadas y descifrar o manipular las comunicaciones futuras.


La ejecución del ataque presupone que el atacante está dentro del alcance de Bluetooth de los dos objetivos que intercambian datos y se hace pasar por uno para negociar una clave de sesión débil con el otro, proponiendo el valor de entropía de clave más bajo posible y utilizando un diversificador de clave de sesión constante.


El artículo publicado presenta seis tipos de ataques BLUFFS, que cubren varias combinaciones de ataques de suplantación de identidad y MitM, que funcionan independientemente de si las víctimas admiten conexiones seguras (SC) o conexiones seguras heredadas (LSC).

Los investigadores desarrollaron y compartieron un conjunto de herramientas en GitHub que demuestra la efectividad de BLUFFS. Incluye un script de Python para probar los ataques, los parches de ARM, el analizador y las muestras PCAP capturadas durante sus pruebas.

Impacto y remediación

BLUFFS afecta a Bluetooth 4.2, lanzado en diciembre de 2014, y a todas las versiones hasta la última, Bluetooth 5.4, lanzada en febrero de 2023.

El documento de Eurecom presenta los resultados de las pruebas de BLUFFS contra varios dispositivos, incluidos teléfonos inteligentes, auriculares y computadoras portátiles, que ejecutan las versiones 4.1 a 5.2 de Bluetooth. Se confirmó que todos ellos eran susceptibles a al menos tres de los seis ataques de BLUFFS.


El documento también propone las siguientes modificaciones compatibles con versiones anteriores que mejorarían la derivación de claves de sesión y mitigarían BLUFFS y amenazas similares:

• Introducir una nueva "función de derivación de claves" (KDF) para conexiones seguras heredadas (LSC) que implique el intercambio y la verificación mutuos de nonce, lo que agrega una sobrecarga mínima.
• Los dispositivos deben utilizar una clave de emparejamiento compartida para la autenticación mutua de los diversificadores de claves, lo que garantiza la legitimidad de los participantes de la sesión.
• Aplique el modo Conexiones seguras (SC) siempre que sea posible.
• Mantenga una caché de diversificadores de claves de sesión para evitar su reutilización.

Bluetooth SIG (Grupo de Interés Especial), la organización sin fines de lucro que supervisa el desarrollo del estándar Bluetooth y es responsable de licenciar la tecnología, ha recibido el informe de Eurecom y ha publicado una declaración en su sitio.

La organización sugiere que las implementaciones rechacen las conexiones con una intensidad de clave baja por debajo de siete octetos, utilicen el "Modo de seguridad 4 Nivel 4", que garantiza un nivel de seguridad de cifrado más alto, y operen en modo "Solo conexiones seguras" cuando se emparejen.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Exploración Aeroespacial de Japón (JAXA, por sus siglas en inglés) fue hackeada en un ciberataque durante el verano, lo que puede haber puesto en riesgo tecnología y datos sensibles relacionados con el espacio.

La brecha de seguridad fue descubierta este otoño cuando las autoridades policiales alertaron a la agencia espacial de Japón de que sus sistemas estaban comprometidos, como informó por primera vez The Yomiuri Shimbun.

Al confirmar la infiltración, el secretario jefe del gabinete de Japón, Hirokazu Matsuno, reveló en una conferencia de prensa que los atacantes obtuvieron acceso al servidor Active Directory (AD) de la agencia, un componente crucial que supervisa las operaciones de red de JAXA.

Es probable que este servidor contenga información crítica, como las credenciales de los empleados, lo que aumenta significativamente el impacto potencial de la infracción.

En respuesta al incidente, JAXA ahora está trabajando con expertos en ciberseguridad del gobierno y las fuerzas del orden como parte de una investigación en curso para determinar el alcance del compromiso de seguridad.

Aunque no se ha confirmado ninguna filtración de datos relacionada con la violación de JAXA, un funcionario de JAXA expresó su preocupación, afirmando: "Mientras el servidor AD fue hackeado, era muy probable que la mayor parte de la información fuera visible. Esta es una situación muy grave".

Atacado por piratas informáticos estatales chinos en 2016 y 2017

Si bien el ataque cibernético aún no se ha atribuido, se alinea con un esfuerzo concertado de ciberespionaje para recopilar y robar información confidencial almacenada en los servidores de la agencia.

Establecida en 2003, JAXA es la institución nacional de investigación y desarrollo aeroespacial de Japón. En 2012, su mandato se amplió para abarcar el desarrollo espacial militar, incluido el desarrollo de sistemas de alerta temprana de misiles basados en el espacio.

Este incidente no es el primer roce de la agencia con brechas de seguridad, ya que también fue atacada en 2016 y 2017, cuando casi 200 instituciones y empresas de investigación japonesas relacionadas con la defensa fueron objeto de un ataque cibernético generalizado.

El Departamento de Policía Metropolitana de Japón atribuyó los ataques a un grupo de hackers militares chinos identificados como Tick, también conocido por los alias BRONZE BUTLER y STALKER PANDA, en abril de 2021.

En septiembre de 2023, las fuerzas del orden y las agencias de ciberseguridad de EE. UU. y Japón advirtieron en un aviso conjunto que los piratas informáticos BlackTech respaldados por el estado chino estaban colocando puertas traseras en los dispositivos de red corporativa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

General Electric está investigando las afirmaciones de que un actor de amenazas violó el entorno de desarrollo de la compañía en un ataque cibernético y filtró datos supuestamente robados.

General Electric (GE) es una empresa multinacional estadounidense con divisiones en las industrias de energía, energía renovable y aeroespacial.

A principios de este mes, un actor de amenazas llamado IntelBroker intentó vender el acceso a los "pipelines de desarrollo y software" de General Electric por 500 dólares en un foro de piratería.

Después de no vender dicho supuesto acceso, el actor de amenazas volvió a publicar que ahora están vendiendo tanto el acceso a la red como los datos supuestamente robados.

"Anteriormente enumeré el acceso a General Electrics, sin embargo, ningún comprador serio me ha respondido o hecho un seguimiento. Ahora estoy vendiendo todo aquí por separado, incluido el acceso (SSH, SVN, etc.)", publicó el actor de amenazas en un foro de piratería.

"Los datos incluyen una gran cantidad de información militar relacionada con DARPA, archivos, archivos SQL, documentos, etc."


Como prueba de la infracción, el actor de amenazas compartió capturas de pantalla de lo que afirman que son datos robados de GE, incluida una base de datos de GE Aviations que parece contener información sobre proyectos militares.

En una declaración a BleepingComputer, GE confirmó que están al tanto de las afirmaciones del hacker y están investigando la supuesta filtración de datos.

"Estamos al tanto de las afirmaciones hechas por un mal actor con respecto a los datos de GE y estamos investigando estas afirmaciones. Tomaremos las medidas apropiadas para ayudar a proteger la integridad de nuestros sistemas", dijo un portavoz de GE a BleepingComputer.

Si bien la violación no se ha confirmado, IntelBroker es un pirata informático conocido por ciberataques exitosos y de alto perfil en el pasado.

Esto incluye una violación del servicio de comestibles Weee! y el robo de información personal confidencial del programa D.C. Health Link del Distrito de Columbia.

DC Health Link es un mercado de atención médica para Washington, D.C., utilizado por muchos empleados de la Casa Blanca y de la Casa y sus familias.

En marzo, IntelBroker violó DC Health Link y afirmó haber vendido una base de datos robada que contenía la información personal de miles de personas.

Esta violación dio lugar a una amplia cobertura mediática y a una audiencia en el Congreso para obtener más información e investigar cómo se produjo la infracción.

Durante la audiencia, Mila Kofman, directora ejecutiva de la Autoridad de Intercambio de Beneficios de Salud del Distrito de Columbia, explicó que los datos se expusieron a través de un servidor que estaba mal configurado para que fuera accesible en línea.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los usuarios de Google Drive informan que los archivos recientes almacenados en la nube han desaparecido repentinamente, y el servicio en la nube ha vuelto a ser una instantánea de almacenamiento como era entre abril y mayo de 2023.

Google Drive es un servicio de almacenamiento basado en la nube que permite a las personas almacenar y acceder a archivos desde cualquier dispositivo conectado a Internet a través de su cuenta de Google. Es un servicio muy utilizado por particulares y empresas (como parte de Google Workspace).

Un problema de tendencia reportado en los foros de soporte de Google a partir de la semana pasada describe una situación en la que las personas dicen que perdieron datos recientes y cambios en la estructura de carpetas.

"Aquí hay un problema grave que debe escalar urgentemente. Tenemos un ticket de soporte abierto, esto no ha sido útil hasta la fecha", dijo un usuario de Google Drive en el hilo de soporte.

"Pago extra cada mes para almacenar carpetas en la nube para que esté seguro, por lo que es devastador que todo mi trabajo parezca haberse perdido", publicó otro usuario de Google Drive.

Los registros de actividad de las cuentas afectadas no muestran ningún cambio reciente, lo que confirma que los propios usuarios no las eliminaron accidentalmente.

En general, no hay indicios de un error del usuario, sino más bien de un problema con el sistema del servicio que impidió la sincronización de datos entre los dispositivos locales y Google Cloud en algún momento.

Algunos usuarios tienen cachés sin conexión que pueden contener los datos que faltan, pero no existe ningún método conocido para restaurar el acceso a los datos que contienen.

Los agentes de soporte voluntarios de Google han publicado una supuesta respuesta de los ingenieros de soporte de Google que confirma que ya están investigando el problema. Sin embargo, aún no se ha proporcionado una estimación para una solución.


La recomendación para los afectados es evitar realizar cambios en la carpeta raíz/datos hasta que la situación se aclare y se determine la causa raíz del problema.

Es comprensible que muchos usuarios se sientan frustrados por la pérdida de datos críticos que confiaron al servicio basado en la nube y, en muchos casos, pagaron por el alojamiento de sus archivos.

Un aspecto notable de la situación es que los foros de soporte de Google están respaldados por voluntarios con una visión o comprensión limitada del servicio en la nube, por lo que la falta de asistencia efectiva en problemas críticos como este lo empeora aún más.

BleepingComputer se ha puesto en contacto con Google para obtener una actualización sobre el estado de la investigación interna y si los archivos perdidos son recuperables o se pierden irreversiblemente, pero no hemos recibido una respuesta en el momento de la publicación.

En esta situación, los usuarios de Google Drive deben abstenerse de cambiar su almacenamiento en la nube, ya que podría complicar el proceso de recuperación. En su lugar, lo mejor que puedes hacer es ponerte en contacto con el servicio de asistencia de Google, abrir un nuevo caso y estar atento a las actualizaciones oficiales.

Hasta que se resuelva el problema, sería más prudente hacer una copia de seguridad de los archivos importantes localmente o utilizar un servicio en la nube diferente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que los actores de amenazas norcoreanos detrás de las cepas de malware de macOS, como RustBucket y KANDYKORN, "mezclan y combinan" diferentes elementos de las dos cadenas de ataque dispares, aprovechando los cuentagotas de RustBucket para entregar KANDYKORN.

Los hallazgos provienen de la firma de ciberseguridad SentinelOne, que también vinculó un tercer malware específico de macOS llamado ObjCShellz a la campaña RustBucket.

RustBucket se refiere a un grupo de actividad vinculado al Grupo Lazarus en el que una versión de puerta trasera de una aplicación de lectura de PDF, denominada SwiftLoader, se utiliza como conducto para cargar un malware de la siguiente etapa escrito en Rust al ver un documento de señuelo especialmente diseñado.

La campaña KANDYKORN, por otro lado, se refiere a una operación cibernética maliciosa en la que los ingenieros de blockchain de una plataforma de intercambio de criptomonedas sin nombre fueron atacados a través de Discord para iniciar una sofisticada secuencia de ataque de varias etapas que condujo al despliegue del troyano de acceso remoto residente de memoria con todas las funciones del mismo nombre.

La tercera pieza del rompecabezas de ataque es ObjCShellz, que Jamf Threat Labs reveló a principios de este mes como una carga útil de etapa posterior que actúa como un shell remoto que ejecuta comandos de shell enviados desde el servidor atacante.


Un análisis más detallado de estas campañas por parte de SentinelOne ha demostrado que el Grupo Lazarus está utilizando SwiftLoader para distribuir KANDYKORN, lo que corrobora un informe reciente de Mandiant, propiedad de Google, sobre cómo diferentes grupos de hackers de Corea del Norte están tomando prestadas cada vez más las tácticas y herramientas de los demás.

"El panorama cibernético de la RPDC ha evolucionado hasta convertirse en una organización optimizada con herramientas compartidas y esfuerzos de focalización", señaló Mandiant. "Este enfoque flexible de la asignación de tareas dificulta que los defensores rastreen, atribuyan y frustren actividades maliciosas, al tiempo que permite que este adversario ahora colaborativo se mueva sigilosamente con mayor velocidad y adaptabilidad".

Esto incluye el uso de nuevas variantes del stager SwiftLoader que pretende ser un ejecutable llamado EdoneViewer pero, en realidad, se pone en contacto con un dominio controlado por un actor para recuperar la RAT KANDYKORN en función de las superposiciones en la infraestructura y las tácticas empleadas.

La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab implicó a Andariel, un subgrupo dentro de Lazarus, a ataques cibernéticos que explotan una falla de seguridad en Apache ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para instalar puertas traseras NukeSped y TigerRAT.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto un caso de "autenticación forzada" que podría explotarse para filtrar los tokens NT LAN Manager (NTLM) de un usuario de Windows engañando a una víctima para que abra un archivo de Microsoft Access especialmente diseñado.

El ataque aprovecha una característica legítima de la solución del sistema de administración de bases de datos que permite a los usuarios vincularse a orígenes de datos externos, como una tabla remota de SQL Server.

"Los atacantes pueden abusar de esta característica para filtrar automáticamente los tokens NTLM del usuario de Windows a cualquier servidor controlado por el atacante, a través de cualquier puerto TCP, como el puerto 80", dijo el investigador de seguridad de Check Point, Haifei Li. "El ataque puede lanzarse siempre que la víctima abra un archivo .accdb o .mdb. De hecho, cualquier tipo de archivo de Office más común (como un .rtf) también puede funcionar".

NTLM, un protocolo de autenticación introducido por Microsoft en 1993, es un protocolo de desafío-respuesta que se usa para autenticar a los usuarios durante el inicio de sesión. A lo largo de los años, se ha descubierto que es vulnerable a los ataques de fuerza bruta, pass-the-hash y relay.

El último ataque, en pocas palabras, abusa de la característica de tabla vinculada en Access para filtrar los hashes NTLM a un servidor controlado por actores incrustando un archivo .accdb con un vínculo de base de datos SQL Server remoto dentro de un documento de MS Word utilizando un mecanismo llamado Object Linking and Embedding (OLE).


"Un atacante puede configurar un servidor que controle, escuchando en el puerto 80, y poner su dirección IP en el campo anterior de 'alias de servidor'", explicó Li. "Luego pueden enviar el archivo de la base de datos, incluida la tabla vinculada, a la víctima".

Si la víctima abre el archivo y hace clic en la tabla vinculada, el cliente víctima se pone en contacto con el servidor controlado por el atacante para la autenticación, lo que permite a este último llevar a cabo un ataque de retransmisión iniciando un proceso de autenticación con un servidor NTLM de destino en la misma organización.

A continuación, el servidor no autorizado recibe el desafío, se lo pasa a la víctima como parte del proceso de autenticación y obtiene una respuesta válida, que finalmente se transmite al servidor NTLM.

Si bien Microsoft ha publicado mitigaciones para el problema en la versión de Office/Access (Canal actual, versión 2306, compilación 16529.20182) luego de la divulgación responsable en enero de 2023, 0patch ha lanzado correcciones no oficiales para Office 2010, Office 2013, Office 2016, Office 2019 y Office 365.

El desarrollo también se produce cuando Microsoft anunció planes para descontinuar NTLM en Windows 11 en favor de Kerberos para mejorar la seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Asociación de Pilotos Aliados (APA, por sus siglas en inglés), un sindicato que representa a 15.000 pilotos de American Airlines, reveló un ataque de ransomware que afectó a sus sistemas el lunes.

El sindicato APA fue fundado en 1963 y actualmente es el mayor sindicato independiente de pilotos del mundo.

"El 30 de octubre experimentamos un incidente de ciberseguridad. Tras el descubrimiento del incidente, inmediatamente tomamos medidas para proteger nuestra red. Nuestro equipo de TI, con el apoyo de expertos externos, continúa trabajando sin parar para restaurar nuestros sistemas", dijo el sindicato en un comunicado visto por el analista de amenazas de Emsisoft, Brett Callow.

"Si bien la investigación está en curso, podemos compartir que hemos determinado que el incidente se debió a un ransomware y que ciertos sistemas estaban encriptados".

APA dijo que su equipo de TI y expertos externos están trabajando en la restauración de los sistemas afectados por el ataque de ransomware a partir de copias de seguridad, con un enfoque inicial en traer de vuelta primero productos y herramientas orientados a la prueba piloto en las próximas horas y días.

El sindicato ha iniciado una investigación dirigida por expertos en ciberseguridad para evaluar el alcance total del incidente y su impacto en los datos almacenados en los sistemas comprometidos.

La APA aún no ha compartido si la información personal de los pilotos se vio comprometida en el ataque o el número exacto de personas afectadas.

Gregg Overman, director de comunicaciones del sindicato, dijo a BleepingComputer que la organización no podía proporcionar más detalles más allá de lo que se había revelado cuando se le pidió que vinculara el incidente con una operación de ransomware.


Los pilotos de American Airlines también fueron informados sobre una violación de datos que afectó su información personal en junio después del hackeo de abril de Pilot Credentials, un proveedor externo que administra las solicitudes de pilotos y los portales de reclutamiento de múltiples aerolíneas.

En las notificaciones de violación enviadas a las personas afectadas, American Airlines dijo que los atacantes obtuvieron acceso a información confidencial perteneciente a 5745 pilotos y solicitantes.

La información expuesta en la violación de terceros de abril incluye nombres y números de Seguro Social, números de licencia de conducir, números de pasaporte, fechas de nacimiento, números de certificado de aviador y otros números de identificación emitidos por el gobierno.

En septiembre de 2022, American Airlines reveló una violación de datos que afectó a más de 1.708 clientes y empleados después de que varias cuentas de correo electrónico de empleados se vieran comprometidas en un ataque de phishing en julio de 2022.

Un año antes, en marzo de 2021, la aerolínea reveló otra violación de datos después de que los piratas informáticos hicieran el Sistema de Servicio al Pasajero (PSS) utilizado por varias aerolíneas y operado por el gigante mundial de la tecnología de la información aérea SITA.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login