Discord cambiará a enlaces CDN temporales para todos los usuarios a finales de año para evitar que los atacantes utilicen su red de entrega de contenido para la entrega de malware.

"Discord está evolucionando su enfoque de las URL de CDN de archivos adjuntos para crear una experiencia más segura para los usuarios. En particular, esto ayudará a nuestro equipo de seguridad a restringir el acceso al contenido marcado y, en general, a reducir la cantidad de malware distribuido mediante nuestra CDN", dijo Discord a BleepingComputer.

"No hay ningún impacto para los usuarios de Discord que comparten contenido dentro del cliente de Discord. Todos los enlaces dentro del cliente se actualizarán automáticamente. Si los usuarios utilizan Discord para alojar archivos, les recomendamos que busquen un servicio más adecuado.

"Los desarrolladores de Discord pueden ver un impacto mínimo y estamos trabajando en estrecha colaboración con la comunidad en la transición. Estos cambios se implementarán a finales de este año y compartiremos más información con los desarrolladores en las próximas semanas".

Después de que el cambio de alojamiento de archivos (descrito por Discord como aplicación de autenticación) se implemente a finales de este año, todos los enlaces a los archivos cargados en los servidores de Discord caducarán después de 24 horas.

Las URL de CDN vendrán con tres nuevos parámetros que agregarán marcas de tiempo de vencimiento y firmas únicas que seguirán siendo válidas hasta que caduquen los enlaces, lo que evitará el uso de la CDN de Discord para el alojamiento permanente de archivos.

Si bien estos parámetros ya se están agregando a los enlaces de Discord, aún deben aplicarse, y los enlaces compartidos fuera de los servidores de Discord solo caducarán una vez que la compañía implemente sus cambios en la aplicación de la autenticación.

"Para mejorar la seguridad de la CDN de Discord, las URL de CDN adjuntas tienen 3 nuevos parámetros de URL: ex, is y hm. Una vez que comience la aplicación de la autenticación a finales de este año, los enlaces con una firma determinada (hm) seguirán siendo válidos hasta la marca de tiempo de vencimiento (ex)", explicó el equipo de desarrollo de Discord en una publicación compartida en el servidor de Discord Developers.

"Para acceder al enlace de CDN adjunto después de que caduque el vínculo, la aplicación deberá obtener una nueva URL de CDN. La API devolverá automáticamente URL válidas y no caducadas cuando acceda a recursos que contengan una URL de CDN de archivos adjuntos, como cuando recupere un mensaje".

Un paso de gigante en la batalla contra el malware

Se trata de un paso muy esperado hacia los retos a los que se enfrenta Discord para frenar las actividades de ciberdelincuencia en su plataforma, ya que sus servidores han servido durante mucho tiempo como caldo de cultivo para actividades maliciosas asociadas a grupos de hackers con motivaciones financieras y respaldados por el Estado.

Las capacidades de alojamiento permanente de archivos de Discord se han utilizado indebidamente con frecuencia para distribuir malware y exfiltrar datos recopilados de sistemas comprometidos mediante webhooks.

A pesar de la escalada de este problema en los últimos años, Discord ha luchado hasta ahora por implementar medidas efectivas para disuadir el abuso de su plataforma por parte de los ciberdelincuentes y abordar el problema de manera decisiva o, al menos, limitar su impacto.

Según un informe reciente de la empresa de ciberseguridad Trellix, las URL de CDN de Discord han sido explotadas por al menos 10.000 operaciones de malware para lanzar cargas útiles maliciosas de segunda etapa en los sistemas infectados.

Estas cargas útiles consisten principalmente en cargadores de malware y scripts que instalan malware, como RedLine stealer, Vidar, AgentTesla, zgRAT y Raccoon stealer.

Según los datos de Trellix, varias familias de malware, incluidas Agent Tesla, UmbralStealer, Stealerium y zgRAT, también han utilizado webhooks de Discord en los últimos años para robar información confidencial como credenciales, cookies del navegador y billeteras de criptomonedas de dispositivos comprometidos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google está implementando una insignia de "Revisión de seguridad independiente" en la sección de seguridad de datos de Play Store para las aplicaciones de Android que se han sometido a una auditoría de Evaluación de seguridad de aplicaciones móviles (MASA).

"Hemos lanzado este banner comenzando con las aplicaciones VPN debido a la cantidad sensible y significativa de datos de usuario que manejan estas aplicaciones", dijo Nataliya Stanetsky, del Equipo de Seguridad y Privacidad de Android.

MASA permite a los desarrolladores validar sus aplicaciones de forma independiente con respecto a un estándar de seguridad global, como el Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS), lo que proporciona más transparencia y permite a los usuarios tomar decisiones informadas antes de descargarlas.

Los esfuerzos son parte de un impulso más amplio de Google para hacer de la sección de seguridad de datos una ventanilla única que presente una "visión unificada de la seguridad de las aplicaciones", ofreciendo detalles sobre el tipo de datos que se recopilan, con qué propósito y si se comparten con terceros.


Los desarrolladores de aplicaciones de terceros que estén interesados en participar pueden comunicarse directamente con uno de los seis socios de Authorized Labs, quienes luego probarán la versión pública de la aplicación disponible en Play Store y señalarán posibles problemas de seguridad para su corrección.

"Una vez que la aplicación cumple con todos los requisitos, el laboratorio envía un informe de validación directamente a Google como confirmación, y los desarrolladores serán elegibles para declarar la insignia de seguridad en su formulario de seguridad de datos", señala Google.

"En promedio, el proceso toma alrededor de 2 a 3 semanas desde la evaluación inicial hasta la disponibilidad de la insignia".

Dicho esto, Google enfatizó que el proceso de prueba de seguridad independiente ayuda a los usuarios a verificar si un "desarrollador ha priorizado las prácticas de seguridad y privacidad y se ha comprometido con la seguridad del usuario".

Sin embargo, señaló que la certificación de los estándares de seguridad básicos no implica que una aplicación validada esté libre de vulnerabilidades.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una cepa avanzada de malware que se hace pasar por un minero de criptomonedas ha logrado volar el radar durante más de cinco años, infectando no menos de un millón de dispositivos en todo el mundo en el proceso.

Eso es según los hallazgos de Kaspersky, que ha nombrado a la amenaza StripedFly, describiéndola como un "intrincado marco modular que admite tanto Linux como Windows".

El proveedor ruso de ciberseguridad, que detectó por primera vez las muestras en 2017, dijo que el minero es parte de una entidad mucho más grande que emplea un exploit personalizado EternalBlue SMBv1 atribuido a Equation Group para infiltrarse en sistemas de acceso público.

El shellcode malicioso, entregado a través del exploit, tiene la capacidad de descargar archivos binarios desde un repositorio remoto de Bitbucket, así como ejecutar scripts de PowerShell. También es compatible con una colección de funciones expandibles similares a complementos para recopilar datos confidenciales e incluso desinstalarse a sí mismo.

El shellcode de la plataforma se inserta en el proceso wininit.exe, un proceso legítimo de Windows que inicia el administrador de arranque (BOOTMGR) y maneja la inicialización de varios servicios.

"La carga útil del malware en sí está estructurada como un código ejecutable binario monolítico diseñado para admitir módulos conectables para extender o actualizar su funcionalidad", dijeron los investigadores de seguridad Sergey Belov, Vilen Kamalov y Sergey Lozhkin en un informe técnico publicado la semana pasada.

"Viene equipado con un túnel de red TOR incorporado para la comunicación con los servidores de comando, junto con la funcionalidad de actualización y entrega a través de servicios confiables como GitLab, GitHub y Bitbucket, todos utilizando archivos cifrados personalizados".

Otros módulos de espionaje notables le permiten recopilar credenciales cada dos horas, capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, grabar la entrada del micrófono e iniciar un proxy inverso para ejecutar acciones remotas.

Al afianzarse con éxito, el malware procede a desactivar el protocolo SMBv1 en el host infectado y propaga el malware a otras máquinas utilizando un módulo de gusano a través de SMB y SSH, utilizando claves recogidas en los sistemas pirateados.

StripedFly logra la persistencia modificando el Registro de Windows o creando entradas del programador de tareas si el intérprete de PowerShell está instalado y el acceso administrativo está disponible. En Linux, la persistencia se logra por medio de un servicio de usuario systemd, un archivo .desktop autoiniciado o modificando los archivos /etc/rc*, profile, bashrc o inittab.

También se ha descargado un minero de criptomonedas Monero que aprovecha las solicitudes de DNS sobre HTTPS (DoH) para resolver los servidores del grupo, lo que añade una capa adicional de sigilo a las actividades maliciosas. Se ha evaluado que el minero se utiliza como señuelo para evitar que el software de seguridad descubra el alcance total de las capacidades del malware.

En un esfuerzo por minimizar la huella, los componentes de malware que se pueden descargar se alojan como binarios cifrados en varios servicios de alojamiento de repositorios de código, como Bitbucket, GitHub o GitLab.

Por ejemplo, el repositorio de Bitbucket operado por el actor de amenazas desde junio de 2018 incluye archivos ejecutables capaces de servir la carga útil inicial de la infección tanto en Windows como en Linux, buscar nuevas actualizaciones y, en última instancia, actualizar el malware.

La comunicación con el servidor de comando y control (C2), que está alojado en la red TOR, se lleva a cabo mediante una implementación personalizada y ligera de un cliente TOR que no se basa en ningún método documentado públicamente.

"El nivel de dedicación demostrado por esta funcionalidad es notable", dijeron los investigadores. "El objetivo de ocultar el servidor C2 a toda costa impulsó el desarrollo de un proyecto único y que requiere mucho tiempo: la creación de su propio cliente TOR".

Otra característica llamativa es que estos repositorios actúan como mecanismos alternativos para que el malware descargue los archivos de actualización cuando su fuente principal (es decir, el servidor C2) deja de responder.

Kaspersky dijo que descubrió además una familia de ransomware llamada ThunderCrypt que comparte importantes superposiciones de código fuente con StripedFly, salvo la ausencia del módulo de infección SMBv1. Se dice que ThunderCrypt se utilizó contra objetivos en Taiwán en 2017.

Los orígenes de StripedFly siguen siendo desconocidos en la actualidad, aunque la sofisticación del marco y sus paralelismos con EternalBlue exhiben todas las características de un actor de amenazas persistentes avanzadas (APT).

Vale la pena señalar que, si bien la filtración del exploit EternalBlue por parte de Shadow Brokers tuvo lugar el 14 de abril de 2017, la primera versión identificada de StripedFly que incorpora EternalBlue data de hace un año, el 9 de abril de 2016. Desde la filtración, el exploit EternalBlue ha sido reutilizado por equipos de hackers norcoreanos y rusos para propagar el malware WannaCry y Petya.

Dicho esto, también hay pruebas de que los grupos de hackers chinos pueden haber tenido acceso a algunos de los exploits de Equation Group antes de que se filtraran en línea, como reveló Check Point en febrero de 2021.

Las similitudes con el malware asociado con el grupo Equation, dijo Kaspersky, también se reflejan en el estilo de codificación y las prácticas que se asemejan a las observadas en STRAITBIZARRE, otra plataforma de espionaje cibernético manejada por el presunto colectivo adversario vinculado a Estados Unidos.

El desarrollo se produce casi dos años después de que los investigadores del Pangu Lab de China detallaran una puerta trasera de "primer nivel" llamada Bvp47 que supuestamente fue utilizada por el Grupo de Ecuación en más de 287 objetivos que abarcan múltiples sectores en 45 países.

No hace falta decir que un aspecto crucial de la campaña que sigue siendo un misterio, aparte de aquellos que diseñaron el malware, es su verdadero propósito.

"Si bien el ransomware ThunderCrypt sugiere un motivo comercial para sus autores, plantea la pregunta de por qué no optaron por el camino potencialmente más lucrativo", dijeron los investigadores.

"Es difícil aceptar la noción de que un malware tan sofisticado y diseñado profesionalmente sirva para un propósito tan trivial, dada toda la evidencia de lo contrario".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu 23.10 llegó con puntualidad y un buen montón de novedades de lo más interesantes el pasado jueves, 12 de octubre, pero también lo hizo con un problema de «traducciones maliciosas» debido al cual, Canonical retiró de la circulación las descargas oficiales del sistema. Descargas que ya vuelven a estar disponibles.

Lo cierto, de hecho, es que hubo algún que otro vaivén en lo que a la disponibilidad de las descargas de Ubuntu 23.10 se refiere, pues en un primer momento estaban luego sí, luego volvieron a desaparecer de la vista... Hasta ahora. Por lo tanto, si fuiste una de las personas que se quedaron con las ganas de catar lo nuevo del Linux para seres humano instalando desde cero, tienes vía libre.

Explicando rápido el asunto, el lanzamiento de Ubuntu 23.10 se dio conforme correspondía en fecha y forma, incluyendo en su haber una atractiva lista de novedades para todos los sabores oficiales del sistema de la que dimos cuenta en el anuncio aquí enlazado, con el matiz habitual en este tipo de versiones intermedias como es el escaso tiempo de soporte. Sin embargo, se coló algo que no estaba en el guión.

Como recogimos apenas un día después del lanzamiento, las imágenes de instalación de Ubuntu 23.10 salieron a la luz con una desagradable sorpresa, de la que Canonical tardó poco -o mucho, según se mire- en percatarse: unas «traducciones maliciosas» que al parecer solo afectaron a la traducción ucraniana del instalador de Ubuntu con «mensajes de odio» relacionados con los conflictos en Ucrania y Palestina.

Canonical retiró entonces de la circulación las descargas oficiales del sistema y hasta ahora, que vuelven a estar a disposición del público. Si eres uno de los interesados, ve a la noticia del lanzamiento de Ubuntu 23.10 enlazada más arriba donde además de la lista con todas las descargas de Ubuntu y familia, puedes repasar las novedades para estar al tanto de lo que trae 'Mantic Minotaur'.

Ya advertimos el otro día que ni se trataba de un problema grave, ni afectaba a nadie más que a los usuarios que utilizasen la traducción mencionada. En cualquier caso, todo ha quedado solucionado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En GNOME ha aparecido una petición de fusión para retirar la sesión de Xorg y hacer que sea un escritorio que funciona únicamente sobre Wayland y apoyado en XWayland para las aplicaciones heredadas. Como suele ser habitual con este tema, las redes se han llenado de comentarios tanto a favor como en contra.

Una cosa hay que tener en cuenta, y es que la sesión de Xorg (o X11, el protocolo que implementa) está bastante abandonada en GNOME, ya que los desarrolladores centran sus esfuerzos desde hace tiempo en Wayland. Xorg tiene a su favor una mayor compatibilidad debido a que todo lo relacionado con el despliegue de gráficos en Linux ha girado en torno a él durante muchos años, mientras que Wayland ofrece mejoras en aspectos como la seguridad, es más eficiente a nivel energético y tiene el camino más llano para soportar características como el HDR.

A estas alturas es obvio que la transición hacia Wayland se está demorando demasiado, y aquí hay factores tanto internos como externos. Los factores internos se basan principalmente en un diseño inicial del protocolo que se quedó muy lejos de cubrir lo necesario para un entorno de escritorio y en que no se trazó o diseñó ninguna vía clara de cómo hacer la transición desde Xorg. Aquí se puede sumar el hecho de que se han tenido que traspasar algunas líneas rojas o romper algunos principios con los que nació Wayland, como por ejemplo que todos los fotogramas deben ser perfectos.

Con el paso de los años han surgido algunas tecnologías que se han encargado de cubrir algunas de las deficiencias de Wayland frente a Xorg, como el mencionado PipeWire y XDG Desktop Portal. La primera no es solo un servidor de sonido al ser también capaz de transmitir imagen, así que es lo empleado por OBS Studio y Kooha para grabar el escritorio desde Wayland, mientras que la segunda es un marco que proporciona lo que se podría llamar como portales de XDG, los cuales permiten acceder a recursos que están fuera de un sandbox. Está estrechamente relacionado con Flatpak, aunque no atado a él, y es, por ejemplo, una parte fundamental de lo que permite a OBS Studio grabar desde una sesión de Wayland (sí, junto a PipeWire).

Entre los factores externos que han dificultado la consolidación de Wayland sobresalen las reticencias de NVIDIA a la hora de adoptar los mecanismos estándares que fueron acordados por el resto, entre ellos AMD e Intel. El gigante verde parece estar inmerso en la actualidad en una transición para soportar Wayland correctamente, cosa que parece no hacer del todo bien en estos momentos. La compañía está intentando recorrer en poco tiempo la ventaja de al menos cinco años que le llevan Intel y AMD, que sí han aceptado dar soporte a través de la pila gráfica estándar.


Hay un tercer factor externo: los desarrolladores que no se han planteado soportar Wayland. Aquí llegamos a la parte más espinosa del asunto y la que va a terminar forzando la toma de las decisiones más dolorosas.

Una peculiaridad del escritorio Linux frente a los sistemas operativos exitosos en el mercado de consumo es que la relación que mantiene con los desarrolladores de aplicaciones está invertida. Si una aplicación falla en Windows, macOS, iOS o Android la responsabilidad recae en el desarrollador de la aplicación, pero si falla en Linux, son los responsables del sistema los que tienen que solucionar los problemas.

El hecho de que la relación con los desarrolladores esté invertida es uno de los motivos de por qué hay compilaciones de las aplicaciones para Linux peores que las disponibles para Windows y macOS. Chromium es un claro ejemplo de esto, con un fallo en el desplazamiento que ha necesitado de ocho años para ser resuelto y un soporte para Wayland que, diez años después de iniciarse su desarrollo, sigue siendo una calamidad. Desgraciadamente, la solución en torno a Wayland va a terminar siendo aplicar el hacha y que los proyectos que no se pongan al día acaben abandonados o busquen refugio en otros entornos que usen Xorg/X11.

Recuperando el tema que nos ocupa, que la sesión de Xorg tiene los días contados en GNOME es algo que hay que dar por sentado. Viendo que el escritorio Linux pivota en torno a Ubuntu, sería muy extraño que la retirada se hiciera antes del lanzamiento de la versión 24.04 LTS de la distribución, pero es bastante verosímil pensar que se producirá después, más viendo que Canonical está dando pasos para consolidar Wayland en Ubuntu. Por ahora y según se puede leer en la petición de fusión, parece que se van a atender ciertas peticiones de características, ordenar ciertos aspectos en torno a la organización y lograr una paridad mayor antes de proceder.

La retirada de la sesión de Xorg en GNOME va a ser una decisión dolorosa que traerá más de un problema, pero viendo que muchos no tienen planes para soportar Wayland, la única manera de culminar la transición hacia este último va a ser precisamente tomando la medida más drástica.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Citrix ha advertido hoy a los administradores que protejan inmediatamente todos los dispositivos NetScaler ADC y Gateway contra los ataques en curso que explotan la vulnerabilidad CVE-2023-4966.

La compañía parcheó esta falla crítica de divulgación de información confidencial (rastreada como CVE-2023-4966) hace dos semanas, asignándole una calificación de gravedad de 9.4/10, ya que es explotable de forma remota por atacantes no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.

Los dispositivos NetScaler deben configurarse como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o un servidor virtual AAA para ser vulnerables a los ataques.

Si bien la compañía no tenía evidencia de que la vulnerabilidad estuviera siendo explotada en la naturaleza cuando se lanzó la solución, Mandiant reveló la explotación en curso una semana después.

La compañía de ciberseguridad dijo que los actores de amenazas habían estado explotando CVE-2023-4966 como día cero desde finales de agosto de 2023 para robar sesiones de autenticación y secuestrar cuentas, lo que podría ayudar a los atacantes a eludir la autenticación multifactor u otros requisitos de autenticación fuertes.

Mandiant advirtió que las sesiones comprometidas persisten incluso después de la aplicación de parches y, dependiendo de los permisos de las cuentas comprometidas, los atacantes podrían moverse lateralmente a través de la red o comprometer otras cuentas.

Además, Mandiant encontró casos en los que se explotó CVE-2023-4966 para infiltrarse en la infraestructura de entidades gubernamentales y corporaciones tecnológicas.

Se insta a los administradores a proteger los sistemas contra los ataques en curso

"Ahora tenemos informes de incidentes consistentes con el secuestro de sesiones, y hemos recibido informes creíbles de ataques dirigidos que explotan esta vulnerabilidad", advirtió Citrix hoy.

"Si está utilizando compilaciones afectadas y ha configurado NetScaler ADC como una puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o como un servidor virtual AAA, le recomendamos encarecidamente que instale inmediatamente las compilaciones recomendadas porque esta vulnerabilidad se ha identificado como crítica".

Citrix agregó que "no puede proporcionar un análisis forense para determinar si un sistema puede haber sido comprometido".

Además, Citrix recomienda eliminar todas las sesiones activas y persistentes mediante los siguientes comandos:


Los dispositivos NetScaler ADC y NetScaler Gateway, cuando no están configurados como puertas de enlace (incluido el servidor virtual VPN, el proxy ICA, CVPN o el proxy RDP) o como servidores virtuales AAA (configuraciones típicas de equilibrio de carga, por ejemplo), no son vulnerables a los ataques CVE-2023-4966.

Esto también incluye productos como NetScaler Application Delivery Management (ADM) y Citrix SD-WAN, como confirmó Citrix.

El jueves pasado, CISA agregó CVE-2023-4966 a su Catálogo de Vulnerabilidades y Exploits Conocidos, ordenando a las agencias federales que protejan sus sistemas contra la explotación activa antes del 8 de noviembre.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mientras miles de civiles mueren en medio de la mortífera guerra entre Israel y Hamas, los estafadores están aprovechando los horribles eventos para recolectar donaciones haciéndose pasar por organizaciones benéficas legítimas.

BleepingComputer se ha encontrado con varias publicaciones en X (anteriormente Twitter), Telegram e Instagram donde los estafadores enumeran direcciones dudosas de billeteras de criptomonedas y atraen a víctimas desprevenidas para que les envíen fondos.

Los investigadores también han detectado más de 500 correos electrónicos de "recaudación de fondos" enviados por entidades que afirman ser organizaciones benéficas.

Surgen estafas de donaciones de criptomonedas en Palestina en medio de la guerra entre Israel y Hamas

Varias cuentas en plataformas sociales, incluidas X, Telegram e Instagram, están atrayendo a las personas a hacer donaciones humanitarias para apoyar a las víctimas de la actual crisis en Oriente Medio.

Sin embargo, estas cuentas, que enumeran principalmente direcciones de billeteras criptográficas, tienen orígenes dudosos, no están respaldadas por una organización benéfica oficial y es muy probable que sean estafas.

Al igual que las anteriores estafas de donaciones de criptomonedas de las que hemos informado antes, durante la guerra ruso-ucraniana y tras los terremotos en Turquía, estas cuentas evocan emociones en los espectadores al publicar imágenes sangrientas de soldados, mujeres y niños heridos.

Un ejemplo con el que se encontró BleepingComputer fue una cuenta de "Gaza Relief Aid" en X, que utiliza el dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y mantiene presencia en Telegram e Instagram:


El dominio, You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login asociado con la cuenta, fue registrado el 15 de octubre y no está respaldado por ninguna organización benéfica establecida, contrariamente a su afirmación de ser "Una Iniciativa de Ayuda Islámica" que figura en el pie de página de la página.

La copia del sitio web, sin embargo, ha sido extraída del sitio web oficial de Islamic Relief.

También vale la pena señalar que, aparte de un puñado de "comunicados de prensa" que se distribuyen textualmente de agencias de noticias que informan sobre la guerra entre Israel y Hamas, e imágenes de víctimas heridas de guerra, el sitio web no tiene información con respecto a las personas detrás de él, la organización o un número de contacto asociado y una dirección física.


Los operadores detrás de esta cuenta han enumerado sus direcciones de Ethereum, Bitcoin y USDT en su sitio web y cuentas de redes sociales [1, 2] a las que se deben enviar los fondos.



Afortunadamente, BleepingComputer rastreó el historial de transacciones de las direcciones criptográficas y observó que aún no se habían enviado donaciones a ninguna de estas direcciones.

Además, observamos que la cuenta de Instagram @gazareliefaid ya no estaba disponible, después de haber sido probablemente suspendida por Meta (la empresa matriz de Instagram).

Algunas publicaciones en las redes sociales [1, 2] mostraban a un tercero afirmando que había donado los fondos, y a la persona que buscaba donaciones confirmando haberlos recibido, pero el historial de la billetera indicaba lo contrario. Es muy probable que esta sea una táctica empleada por cuentas sospechosas para dar más credibilidad a sus operaciones.

Por otro lado, también están circulando cuentas sospechosas que dicen apoyar a Israel y a las víctimas israelíes. Por ejemplo, BleepingComputer se encontró con una cuenta de 'Donar para Israel' en X [1, 2, 3]. La dirección de la billetera criptográfica asociada (0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd) una vez más muestra cero transacciones y los escasos datos asociados con la cuenta X arrojan dudas sobre su autenticidad.

Hay que tener en cuenta que ninguna de las cuentas de ejemplo que se muestran aquí está verificada para comprobar su autenticidad y, como tal, los usuarios deben tener cuidado al acercarse a tales afirmaciones en línea.

Los correos electrónicos falsos de recaudación de fondos se hacen pasar por organizaciones benéficas

La firma de ciberseguridad Kaspersky también compartió sus hallazgos con BleepingComputer la semana pasada.

Los investigadores del gigante de la seguridad informan haber visto más de 500 correos electrónicos fraudulentos, junto con sitios web fraudulentos diseñados para capitalizar la voluntad de las personas de ayudar a los afectados.

Estos correos electrónicos y sitios web fraudulentos, redactados en inglés, afirman buscar dominios "para los afectados de ambos lados".

El lenguaje emocional y las ayudas visuales utilizadas en estas comunicaciones son, una vez más, una táctica para atraer a los usuarios a visitar la estafa, donde se les pide que contribuyan, solo para perder su dinero.

Los sitios web vistos por los investigadores de Kaspersky admiten opciones fáciles de transferencia de dinero y aceptan una amplia gama de criptomonedas: Bitcoin, Ethereum, Tether y Litecoin. A continuación se muestra un ejemplo compartido por los investigadores.

Si bien Kaspersky no nombró el sitio web específico en cuestión, BleepingComputer pudo rastrearlo hasta un dominio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, con el sitio web titulado 'Ayuda a la Sociedad Palestina'. El sitio web no estaba disponible en el momento de redactar este informe.


Usando las direcciones de las billeteras, los expertos de Kaspersky descubrieron páginas web fraudulentas adicionales que afirmaban recolectar ayuda para varios otros grupos en el área de conflicto.

"En estos correos electrónicos, los estafadores intentan crear múltiples variaciones de texto para evadir los filtros de spam", dijo Andrey Kovtun, experto en seguridad de Kaspersky, a BleepingComputer.

"Por ejemplo, usan varias frases de llamado a donar como 'llamamos a su compasión y benevolencia' o 'llamamos a su empatía y generosidad', y sustituyen palabras como 'ayuda' con sinónimos como 'apoyo', 'ayuda', etc. Además, alteran los enlaces y las direcciones de los remitentes".

Los investigadores de Kaspersky han advertido que este tipo de páginas fraudulentas pueden multiplicarse rápidamente simplemente modificando su diseño y dirigiéndose a grupos específicos de personas.

¿Cómo donar de forma segura?

Para evitar estafas, los investigadores instan a los espectadores a examinar las páginas a fondo antes de donar. Los sitios web falsos a menudo carecen de información esencial sobre los organizadores y destinatarios de organizaciones benéficas, documentación de legitimidad o carecen de transparencia con respecto al uso de los fondos.

En una sucinta publicación de blog, Larissa Bungo, abogada sénior de la Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés), compartió varios consejos prácticos que pueden evitar que caiga en estafas. Uno de estos consejos incluye investigar la organización que está buscando donaciones:


El Servicio de Impuestos Internos (IRS, por sus siglas en inglés) ha emitido un aviso similar advirtiendo a las personas que no "cedan a la presión".

El gobierno del Reino Unido ha publicado una guía sobre cómo donar de forma segura, que incluye una lista de organizaciones benéficas legítimas como la Agencia de Obras Públicas y Socorro de las Naciones Unidas para Palestina (UNRWA) o la Cruz Roja Británica. La legitimidad de estas organizaciones benéficas se puede validar visitando el registro de organizaciones benéficas del gobierno.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El gigante de los seguros American Family Insurance ha confirmado que sufrió un ciberataque y apagó partes de sus sistemas informáticos después de que los clientes informaran de interrupciones del sitio web durante toda la semana.

American Family Insurance (AmFam) es una compañía de seguros que se enfoca en seguros comerciales y personales, accidentes, automóviles y vida, además de ofrecer planificación de inversiones y jubilación La compañía emplea a 13,000 personas y tiene un ingreso en 2022 de $14.4 mil millones.

En un correo electrónico a BleepingComputer, American Family Insurance confirmó que detectaron actividad inusual en su red y apagaron los sistemas informáticos para evitar la propagación del ciberataque.

"Esta semana, los equipos de tecnología de American Family Insurance detectaron actividad inusual en una parte de nuestra red. Rápidamente tomamos medidas de precaución para proteger los datos y los recursos y cerramos varios sistemas comerciales", dijo un portavoz de AmFam a BleepingComputer.

"Reconocemos que las interrupciones del sistema están afectando a los clientes, agentes y empleados, y agradecemos su paciencia y comprensión".

"Nuestra investigación sobre la actividad está en curso e incluye expertos internos y externos. Hasta la fecha, no hemos detectado ningún compromiso en los sistemas críticos de negocio, procesamiento de datos de clientes o almacenamiento, y varios componentes de nuestra empresa continúan operando sin interrupción".

La compañía espera volver a poner los sistemas en línea mientras continúa investigando la violación y determinando que es segura.


Los sistemas informáticos se apagan tras un ciberataque

Desde el fin de semana pasado, American Family Insurance ha sufrido interrupciones de TI que han afectado el servicio telefónico de la compañía, la conectividad del edificio y los servicios en línea.

Varias fuentes también le han dicho a BleepingComputer que American Family Insurance cortó la conectividad a Internet después del ataque, lo que afectó a otros inquilinos del mismo edificio.

Los clientes han informado que no pueden pagar facturas o presentar reclamos en línea, solo para encontrarse con mensajes que indican que el sitio en línea está caído y que se comuniquen con ellos por teléfono.

"Actualmente estamos experimentando una interrupción del servicio. Si necesita presentar un reclamo, llame al 1-800-692-6326", se lee en un mensaje en el sitio de AmFam.

"Si no puede realizar un pago, puede hacerlo cuando el sistema esté de vuelta y no será penalizado. Agradecemos su paciencia y comprensión".


Del mismo modo, al intentar pagar una factura como invitado, se muestra un mensaje de error que indica: "El servidor no puede atender temporalmente su solicitud debido a un tiempo de inactividad por mantenimiento o problemas de capacidad. Por favor, inténtelo de nuevo más tarde".

No está claro qué tipo de ataque sufrió American Family Insurance, pero comparte señales similares a los ataques de ransomware que afectan a la empresa.

Muchos de estos ataques ocurren durante el fin de semana, cuando menos empleados monitorean la red o usan sus computadoras y notan actividad sospechosa.

Como parte de los ataques, los actores de amenazas suelen propagarse por toda la red, robando datos y cifrando dispositivos.

Cuando se completa el ataque, las víctimas reciben notas de rescate que advierten que los datos se filtrarán públicamente si no se paga una demanda de rescate.

Desafortunadamente, estas tácticas han tenido mucho éxito, y la empresa de análisis de blockchain Chainalysis informa que las bandas de ransomware han ganado al menos USD 449.1 millones en 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Kevin Backhouse, investigador en el Laboratorio de Seguridad de GitHub, ha publicado en coordinación con otras partes una vulnerabilidad de corrupción de memoria que afecta a libcue, un componente que está presente en GNOME y que es empleado por Tracker, el indexador y buscador interno utilizado por el escritorio.

libcue es una biblioteca utilizada para analizar las hojas cue, un formato de metadatos para describir el diseño de las pistas de un CD de música. Debido a que las hojas cue son a menudo empleadas en combinación con el formato de audio FLAC, la biblioteca es una dependencia de algunos reproductores de audio, como por ejemplo el popular Audacious. Sin embargo, dentro de GNOME es usado por tracker-miners, que se encarga de indexar los ficheros de la carpeta de usuario con el fin de hacerlos fácilmente localizables a través de la barra de búsqueda presente en la vista de Actividades.

El índice de ficheros es actualizado de forma automática conforme el usuario va haciendo modificaciones en su directorio personal, lo que abre la puerta a que un atacante tenga éxito poco después de que el usuario haya descargado un fichero malicioso que termina indexado por Tracker.

GNOME
Kevin Backhouse, investigador en el Laboratorio de Seguridad de GitHub, ha publicado en coordinación con otras partes una vulnerabilidad de corrupción de memoria que afecta a libcue, un componente que está presente en GNOME y que es empleado por Tracker, el indexador y buscador interno utilizado por el escritorio.

libcue es una biblioteca utilizada para analizar las hojas cue, un formato de metadatos para describir el diseño de las pistas de un CD de música. Debido a que las hojas cue son a menudo empleadas en combinación con el formato de audio FLAC, la biblioteca es una dependencia de algunos reproductores de audio, como por ejemplo el popular Audacious. Sin embargo, dentro de GNOME es usado por tracker-miners, que se encarga de indexar los ficheros de la carpeta de usuario con el fin de hacerlos fácilmente localizables a través de la barra de búsqueda presente en la vista de Actividades.

El índice de ficheros es actualizado de forma automática conforme el usuario va haciendo modificaciones en su directorio personal, lo que abre la puerta a que un atacante tenga éxito poco después de que el usuario haya descargado un fichero malicioso que termina indexado por Tracker.


El propio Kevin Backhouse ha publicado en el blog de GitHub un vídeo en el que se puede ver que descarga un fichero con extensión .cue. Tras eso, tracker-miners entra en acción y usa libcue para analizar el archivo, el cual explota la vulnerabilidad presente en la biblioteca para ejecutar el código y abrir la calculadora de GNOME. El investigador recuerda que las hojas cue son solo uno de los formatos de ficheros que tracker-miners es capaz de escanear, ya que también están HTML, JPEG y PDF, entre otros.

Backhouse ha creado una prueba de concepto solo para Ubuntu 23.04 y Fedora 38, pero todo apunta a que la vulnerabilidad puede ser ejecutada en muchos sistemas Linux que hacen uso de GNOME. Los que quieran pueden poner en ejecución una versión simplificada de la prueba de concepto que provoca un "cuelgue benigno" del escritorio, pero en MuyLinux recomendamos muy encarecidamente probarlo en un entorno virtualizado o en un ordenador que se pueda sacrificar (no vamos a poner el enlace directo por cuestiones de seguridad).

La explotación de la vulnerabilidad no parece ser sencilla al requerir de saltarse la aleatoriedad en la disposición del espacio de direcciones, más conocida como ASLR por sus siglas en inglés. Otro detalle importante es que la vulnerabilidad es capaz de saltarse el aislamiento (sandbox) de seccomp, el cual está ahí con el propósito de evitar la explotación de este tipo de fallos de seguridad a través de tracker-miners. Backhouse tardó en darse cuenta de que el aislamiento de seccomp está ahí, y cuando se dirigió a los desarrolladores de GNOME, estos le preguntaron cómo logró saltárselo.



El desarrollador Carlos Garnacho ha aparecido para reforzar el sandbox de seccomp y evitar así la explotación de la vulnerabilidad descubierta por Kevin Backhouse. Para los curiosos, el paquete que incluye la mitigación ya lo hemos mencionado, tracker-miners mientras que licbue ya ha sido parcheado para supuestamente dar carpetazo definitivo al asunto. Red Hat ha salido al paso para decir que las versiones 7, 8 y 9 de RHEL no está afectadas, mientras que en Debian los parches han empezado a distribuirse para 'Buster', 'Bullseye' y 'Bookworm'.

Seguido como CVE-2023-43641, el fallo de seguridad tiene actualmente en GitHub una puntuación de 5,3, así que está considerado como de gravedad moderada. Sin embargo, llegó a tener una puntuación de 8,8, lo que indica una severidad alta. Si bien la puesta a disposición de los parches empezó hace unos días, desde MuyLinux recomendamos encarecidamente comprobar las actualizaciones para el sistema con el fin de estar seguros.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Disponible desde hace casi un año, Linux 6.1 es la última versión LTS del kernel hasta el momento en ver la luz; una cuyo periodo de soporte extendido, al igual que el resto de versiones LTS, estaba previsto que durase seis años. Pero todo cambió con el reciente anuncio en torno al mantenimiento de dichas versiones y, en lo que respecta a esta en concreto, lo ha vuelto a hacer... para mejor, eso sí.

Poniendo en orden la historia de Linux LTS, de las versiones con soporte extendido del kernel, comenzaron su andadura ofreciendo dos años de soporte, que más adelante pasaron a ser seis años. Sin embargo, todo ha cambiado de una semanas a esta parte. A finales del septiembre se anunció una drástica modificación en el periodo de soporte de las versiones LTS de Linux, que ahora recuperan los dos años de actualizaciones.

Estas versiones LTS de Linux son muy valoradas por muchas partes, ya que garantizan un periodo de mantenimiento durante el cual se recibirán parches de seguridad y correcciones limitadas, propiciando así la compatibilidad y estabilidad del componente a largo plazo en diferentes proyectos. Pese a ello, el mantenimiento, a cargo de desarrolladores habituales del kernel, no es baladí y ya se advirtió que de no contar con implicación empresarial podría suceder lo que ha terminado sucediendo.

Cabe mencionar otro dato relevante que también ha pesado para la reducción en el tiempo de soporte de Linux LTS, y es que a la falta de apoyos externos por los supuestos interesados en que estas versiones existan o en que el periodo sea tan extenso, se ha sumado el poco uso que se les da. Es decir, conforme pasa el tiempo cada vez cuentan con menos usuarios, lo que tiene su lógica puesto que no reciben nuevas características ni amplían su soporte de hardware.

Así las cosas, por un lado faltan manos para encargarse del mantenimiento de Linux LTS como corresponde, por el otro lo largo del recorrido hace que pierdan el interés... pero sigue habiendo partes que se poyan en ellas y, con esto en mente, se acaba de anunciar lo que parecer ser un impulso extraordinario para encontrar el equilibrio: las versiones SLTS de Linux, o lo que es lo mismo, las versiones «Super LTS (por Long Term Support).

Linux 6.1 será la primera versión SLTS del kernel y su soporte se extenderá por un mínimo de 10 años. O eso es lo que han adelantado en el comunicado oficial de CIP, padrinos de este programa. CIP es el acrónimo de Civil Infrastructure Platform y se trata de un proyecto de The Linux Foundation enfocado en «impulsar la colaboración e innovación del código abierto en torno al software industrial para productos utilizados en la automatización y la infraestructura civil».

Al final todo queda en casa y no solo por tratarse CIP de un proyecto bajo el ala de The Linux Foundation. «Los kernels de CIP se desarrollan y revisan con la misma meticulosa atención que los kernels LTS habituales», explica Yoshi Kobayashi, responsable del proyecto. «Nuestros desarrolladores participan activamente en la revisión y prueba de Linux LTS, contribuyendo a la calidad y seguridad general de la plataforma».

En resumen, nace la iniciativa Linux SLTS y la punta de lanza es Linux 6.1, cuyo soporte iniciar se iba a extender hasta 2028, tras el primer cambio hasta 2026, aunque debía ser 2024 y tras este segundo que recogemos ahora, hasta 2032 «como mínimo». Falta por ver qué versión le sucederá, aun cuando no parece que vaya a seguir la cadencia anual de Linux LTS, cuyo próximo candidato también desconocemos (¿quizás Linux 6.6? Lo sabremos en breve).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las fuerzas del orden arrestaron a un desarrollador de malware vinculado con la banda de ransomware Ragnar Locker y se apoderaron de los sitios de la web oscura del grupo en una operación internacional conjunta.

Se cree que la banda de ransomware Ragnar Locker ha llevado a cabo ataques contra 168 empresas internacionales en todo el mundo desde 2020.

"El 'objetivo clave' de esta cepa de ransomware malicioso fue arrestado en París, Francia, el 16 de octubre, y su casa en Chequia fue registrada. Cinco sospechosos fueron entrevistados en España y Letonia en los días siguientes", dijo hoy Europol.

"Al final de la semana de acción, el principal perpetrador, sospechoso de ser un desarrollador del grupo Ragnar, ha sido llevado ante los jueces de instrucción del Tribunal Judicial de París".

La policía ucraniana también allanó las instalaciones de otro presunto miembro de una banda en Kiev, incautando ordenadores portátiles, teléfonos móviles y dispositivos electrónicos.

Eurojust abrió el caso en mayo de 2021 a petición de las autoridades francesas. La agencia llevó a cabo cinco reuniones de coordinación para facilitar la colaboración judicial entre las autoridades involucradas en la investigación.

Esta operación conjunta entre autoridades de Francia, República Checa, Alemania, Italia, Letonia, Países Bajos, España, Suecia, Japón, Canadá y Estados Unidos marca la tercera acción contra la misma banda de ransomware.

En septiembre de 2021, los esfuerzos coordinados en los que participaron autoridades francesas, ucranianas y estadounidenses condujeron a la detención de dos sospechosos en Ucrania.

Posteriormente, en octubre de 2022, otro sospechoso fue detenido en Canadá a través de una operación conjunta llevada a cabo por las fuerzas del orden francesas, canadienses y estadounidenses.

Durante la operación coordinada, los agentes encargados de hacer cumplir la ley también incautaron activos de criptomonedas y desmantelaron los sitios de negociación y fuga de datos Tor de Ragnar Locker el jueves.

"Además, se eliminaron nueve servidores; cinco en los Países Bajos, dos en Alemania y dos en Suecia", dijo Europol.

"Este servicio ha sido incautado como parte de una acción coordinada de aplicación de la ley contra el grupo Ragnar Locker", se lee en una pancarta que se muestra en el sitio de filtración de datos de Ragnar Locker.


Junto con la incautación exitosa de la infraestructura de Ragnar Locker, la Alianza Cibernética Ucraniana (UCA) hackeó la operación Trigona Ransomware, recuperando con éxito los datos y borrando los servidores de los ciberdelincuentes.

La operación de ransomware Ragnar Locker (también conocida como Ragnar_Locker y RagnarLocker) surgió a fines de diciembre de 2019 cuando comenzó a dirigirse a víctimas empresariales de todo el mundo.

A diferencia de muchas bandas de ransomware modernas, Ragnar Locker no operaba como un ransomware como servicio, en el que se recluta a los afiliados para violar las redes de los objetivos y desplegar el ransomware a cambio de una parte de los ingresos.

En cambio, Ragnar Locker operaba de forma semiprivada, ya que no reclutaba activamente afiliados, sino que optaba por colaborar con probadores de penetración externos para violar las redes.

Su lista de víctimas anteriores incluye entidades prominentes como el fabricante de chips de computadora ADATA, el gigante de la aviación Dassault Falcon y el fabricante de juegos japonés Capcom.

Según un aviso del FBI de marzo de 2022, este ransomware se ha desplegado en las redes de al menos 52 organizaciones de varios sectores de infraestructuras críticas en Estados Unidos desde abril de 2020.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas está utilizando publicaciones falsas de LinkedIn y mensajes directos sobre un puesto de especialista en anuncios de Facebook en el fabricante de hardware Corsair para atraer a las personas a descargar malware que roba información como DarkGate y RedLine.

La empresa de ciberseguridad WithSecure detectó la actividad y rastreó la actividad del grupo, mostrando en un informe hoy que está vinculado a grupos de ciberdelincuentes vietnamitas responsables de las campañas 'Ducktail' descubiertas por primera vez el año pasado.

Estas campañas tienen como objetivo robar valiosas cuentas comerciales de Facebook que pueden usarse para publicidad maliciosa o venderse a otros ciberdelincuentes.

DarkGate se detectó por primera vez en 2017, pero su despliegue siguió siendo limitado hasta junio de 2023, cuando su autor decidió vender el acceso al malware a un público más amplio.

Ejemplos recientes del uso de DarkGate incluyen ataques de phishing a través de Microsoft Teams que empujan la carga útil y aprovechar las cuentas de Skype comprometidas para enviar scripts VBS para desencadenar una cadena de infección que conduce al malware.

Señuelo corsario

Los actores de amenazas vietnamitas se dirigieron principalmente a usuarios en los EE. UU., el Reino Unido y la India, que ocupan puestos de administración de redes sociales y es probable que tengan acceso a cuentas comerciales de Facebook. El señuelo se entrega a través de LinkedIn e implica una oferta de trabajo en Corsair.

Se engaña a los objetivos para que descarguen archivos maliciosos de una URL("g2[.] by/corsair-JD") que redirige a Google Drive o Dropbox para soltar un archivo ZIP ("Salario y nuevos You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login") con un documento PDF o DOCX y un archivo TXT con los siguientes nombres:

• Descripción del trabajo de Corsair.docx
• Salario y nuevos productos.txt
• PDF Salario y Productos.pdf

Los investigadores de WithSecure analizaron los metadatos de los archivos anteriores y encontraron pistas para la distribución del ladrón RedLine.

El archivo descargado contiene un script VBS, posiblemente incrustado en el archivo DOCX, que copia y cambia el nombre de 'curl.exe' a una nueva ubicación y lo aprovecha para descargar 'autoit3.exe' y un script Autoit3 compilado.

El ejecutable inicia el script, y este último se desofusca a sí mismo y construye DarkGate utilizando cadenas presentes en el script.

Treinta segundos después de la instalación, el malware intenta desinstalar los productos de seguridad del sistema comprometido, lo que indica la existencia de un proceso automatizado.

LinkedIn introdujo funciones para combatir el abuso en la plataforma a fines del año pasado que pueden ayudar a los usuarios a determinar si una cuenta es sospechosa o falsa. Sin embargo, corresponde a los usuarios verificar la información verificada antes de comunicarse con una nueva cuenta.

WithSecure ha publicado una lista de indicadores de compromiso (IoC) que podrían ayudar a las organizaciones a defenderse de la actividad de este actor de amenazas. Los detalles incluyen las direcciones IP, los dominios utilizados, las URL, los metadatos de los archivos y los nombres de los archivos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un actor de amenazas, presumiblemente de Túnez, ha sido vinculado a una nueva campaña dirigida a Jupyter Notebooks expuestos en un doble intento de minar ilícitamente criptomonedas y violar entornos en la nube.

Apodado Qubitstrike por Cado, el conjunto de intrusión utiliza la API de Telegram para filtrar las credenciales del proveedor de servicios en la nube después de un compromiso exitoso.

"Las cargas útiles para la campaña Qubitstrike están alojadas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, una plataforma alternativa de alojamiento de Git, que proporciona gran parte de la misma funcionalidad que GitHub", dijeron los investigadores de seguridad Matt Muir y Nate Bill en un artículo del miércoles.

En la cadena de ataque documentada por la empresa de seguridad en la nube, las instancias de Jupyter de acceso público se vulneran para ejecutar comandos para recuperar un script de shell (mi.sh) alojado en Codeberg.

El script de shell, que actúa como carga útil principal, es responsable de ejecutar un minero de criptomonedas, establecer la persistencia por medio de un cron job, insertar una clave controlada por el atacante en el archivo .ssh/authorized_keys para el acceso remoto y propagar el malware a otros hosts a través de SSH.

El malware también es capaz de recuperar e instalar el rootkit Diamorphine para ocultar procesos maliciosos, así como transmitir las credenciales capturadas de Amazon Web Services (AWS) y Google Cloud al atacante a través de la API del bot de Telegram.

Un aspecto digno de mención de los ataques es el cambio de nombre de utilidades legítimas de transferencia de datos como curl y wget en un probable intento de evadir la detección y evitar que otros usuarios del sistema utilicen las herramientas.

"mi.sh también iterará a través de una lista codificada de nombres de procesos e intentará matar los procesos asociados", dijeron los investigadores. "Es probable que esto frustre cualquier operación minera por parte de competidores que puedan haber comprometido previamente el sistema".


El script de shell está diseñado además para aprovechar el comando netstat y una lista codificada de pares IP/puerto, previamente asociados con campañas de cryptojacking, para eliminar cualquier conexión de red existente a esas direcciones IP.

También se han tomado medidas para eliminar varios archivos de registro de Linux (por ejemplo, /var/log/secure y /var/log/wtmp), en lo que es otra señal de que los actores de Qubitstrike están buscando pasar desapercibidos.

Los orígenes exactos del actor de amenazas siguen sin estar claros, aunque la evidencia apunta a que probablemente sea Túnez debido a la dirección IP utilizada para iniciar sesión en el honeypot en la nube utilizando las credenciales robadas.

Un examen más detallado del repositorio de Codeberg también ha revelado un implante de Python (kdfs.py) que está diseñado para ejecutarse en hosts infectados, con Discord actuando como un mecanismo de comando y control (C2) para cargar y descargar desde y hacia la máquina.

La conexión entre You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login sigue siendo desconocida hasta el momento, aunque se sospecha que la puerta trasera de Python facilita el despliegue del script de shell. También parece que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se puede entregar como un malware independiente sin depender de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

"Qubitstrike es una campaña de malware relativamente sofisticada, encabezada por atacantes con un enfoque particular en la explotación de servicios en la nube", dijeron los investigadores.

"Por supuesto, el objetivo principal de Qubitstrike parece ser el secuestro de recursos con el fin de minar la criptomoneda XMRig. A pesar de esto, el análisis de la infraestructura de Discord C2 muestra que, en realidad, cualquier ataque concebible podría ser llevado a cabo por los operadores después de obtener acceso a estos hosts vulnerables".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ataques que aprovechan el malware DarkGate dirigido a entidades en el Reino Unido, los EE. UU. y la India se han relacionado con actores vietnamitas asociados con el uso del infame ladrón Ducktail.

"Es muy probable que la superposición de herramientas y campañas se deba a los efectos de un mercado de delitos cibernéticos", dijo WithSecure en un informe publicado hoy. "Los actores de amenazas pueden adquirir y utilizar múltiples herramientas diferentes para el mismo propósito, y todo lo que tienen que hacer es idear objetivos, campañas y señuelos".

El desarrollo se produce en medio de un aumento en las campañas de malware que utilizan DarkGate en los últimos meses, impulsado principalmente por la decisión de su autor de alquilarlo sobre la base de malware como servicio (MaaS) a otros actores de amenazas después de usarlo de forma privada desde 2018.

No se trata solo de DarkGate y Ducktail, ya que el grupo de actores de amenazas vietnamitas responsable de estas campañas está aprovechando señuelos, temas, objetivos y métodos de entrega iguales o muy similares para ofrecer también LOBSHOT y RedLine Stealer.

Las cadenas de ataque que distribuyen DarkGate se caracterizan por el uso de scripts de AutoIt recuperados a través de un script de Visual Basic enviado a través de correos electrónicos o mensajes de phishing en Skype o Microsoft Teams. La ejecución del script AutoIt conduce a la implementación de DarkGate.

En este caso, sin embargo, el vector de infección inicial fue un mensaje de LinkedIn que redirigía a la víctima a un archivo alojado en Google Drive, una técnica comúnmente utilizada por los actores de Ducktail.

"Se han utilizado temas de campaña y señuelos muy similares para entregar Ducktail y DarkGate", dijo WithSecure, aunque la función de la etapa final difiere en gran medida.

Mientras que Ducktail funciona como un ladrón, DarkGate es un troyano de acceso remoto (RAT) con capacidades de robo de información que también establecen una persistencia encubierta en los hosts comprometidos para el acceso por puerta trasera.

"DarkGate ha existido durante mucho tiempo y está siendo utilizado por muchos grupos para diferentes propósitos, y no solo por este grupo o grupo en Vietnam", dijo el investigador de seguridad Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure.

"La otra cara de la moneda es que los actores pueden usar múltiples herramientas para la misma campaña, lo que podría oscurecer el verdadero alcance de su actividad a partir de un análisis puramente basado en malware".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los piratas informáticos están escaneando en busca de Jupyter Notebooks expuestos a Internet para violar los servidores y desplegar un cóctel de malware que consiste en un rootkit de Linux, mineros criptográficos y scripts de robo de contraseñas.

Jupyter Notebooks son entornos informáticos interactivos de código abierto para el análisis de datos, el aprendizaje automático y la investigación científica. Esta plataforma fue atacada recientemente por otro malware llamado 'PyLoose', que también llevó a la implementación del minero XMRRig en el contenedor subyacente.

En una nueva campaña llamada 'Qubitstrike', los actores de amenazas descargan cargas útiles maliciosas para secuestrar un servidor Linux para la criptominería y robar credenciales de servicios en la nube, como AWS y Google Cloud.

Como informa hoy Cado Research, las cargas útiles del malware Qubitstrike están alojadas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, lo que marca la primera vez que se abusa de esta plataforma para la distribución de malware.

Secuestro de Linux con Qubitstrike

Se cree que los ataques de Qubitstrike comienzan con un escaneo manual de Jupyter Notebooks expuestos, seguido de una identificación de la CPU para evaluar su potencial de minería.

Los atacantes buscan archivos de credenciales que pueden robar y descargar y ejecutar un script ('mi.sh') utilizando un comando codificado en base64.

El script es responsable de la mayor parte de la actividad maliciosa en un servidor Linux comprometido, incluidos los siguientes:

• Descargue y ejecute un minero XMRig disfrazado de "python-dev"
• Configure cuatro trabajos cron (apache2, apache2.2, netns, netns2) para la persistencia del minero y del script
• Inserte una clave SSH controlada por el atacante para el acceso raíz persistente
• Instale el rootkit LKM (módulo de kernel cargable) 'Diamorphine' que ayuda a ocultar procesos específicos de las herramientas de monitoreo
• Robar credenciales del endpoint vulnerado y propagarlas a través de SSH

Cado informa que You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login también realiza algunos pasos de optimización de ataques utilizando un componente adicional llamado "kthreadd", como detectar mineros competidores en la lista de procesos en ejecución y eliminarlos y usar la utilidad 'netstat' para cerrar las conexiones a las IP marcadas para cryptojacking.

Para cubrir los rastros del atacante, se cambia el nombre de las utilidades de transferencia de datos como 'curl' y 'wget', y los archivos de registro que contienen evidencia de la violación se borran del sistema mediante una función personalizada ('log_f').

Los scripts de Qubitstrike también instalan el rootkit de código abierto Diamorphine para Linux, que se utiliza para ocultar la presencia de scripts en ejecución y cargas útiles de malware.

"La diamorfina es bien conocida en los círculos de malware de Linux, y el rootkit se ha observado en campañas de TeamTNT y, más recientemente, Kiss-a-dog", explica el informe de Cado.

"La compilación del malware en el momento de la entrega es común y se utiliza para evadir los EDR y otros mecanismos de detección".

Robo de credenciales

Qubitstrike busca credenciales en el endpoint comprometido y las envía de vuelta a sus operadores mediante la API de Telegram Bot.

Específicamente, el malware itera a través de una lista de 23 directorios que generalmente alojan credenciales para archivos llamados "credenciales", "nube", "kyber-env" y otros.

Las credenciales que se encuentran allí se almacenan en un archivo temporal en "/tmp/creds", se envían al bot de Telegram y, finalmente, se eliminan.


Cado ha descubierto que el bot vinculado a la exfiltración de credenciales está vinculado a un chat privado con un usuario llamado "z4r0u1". Además, los investigadores encontraron que la dirección IP del atacante los ubica en Túnez, mientras que el agente de usuario muestra el uso de Kali Linux.


Usar Discord como C2

Al examinar el repositorio del atacante en Codeberg, se reveló otro script llamado 'kdfs.py', que utiliza un bot de Discord para operaciones de comando y control (C2) utilizando un token multiofuscado.

El script puede ejecutarse como un ejecutable independiente, enviando mensajes a un canal de Discord codificado para enviar información del host y luego esperar a que se ejecuten los comandos. El implante también abusa de Discord para la exfiltración de datos.

El token incrustado expuso el apodo del atacante, 'BlackSUN', el servidor de Discord, 'NETShadow' y los canales contenidos llamados 'víctimas' y 'ssh', que dejan pocas dudas sobre la naturaleza del espacio, creado el 2 de septiembre de 2023.


Aunque el implante You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login nunca se implementó en los honeypots de Cado, los investigadores sugieren que es un predecesor del script You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Entre agosto de 2022 y mayo de 2023 se detectó una versión actualizada del marco de puerta trasera MATA en ataques dirigidos a empresas de petróleo y gas y a la industria de defensa en Europa del Este.

Los ataques emplearon correos electrónicos de spear-phishing para engañar a los objetivos para que descargaran ejecutables maliciosos que explotan CVE-2021-26411 en Internet Explorer para iniciar la cadena de infección.

El marco MATA actualizado combina un cargador, un troyano principal y un ladrón de información para hacer una puerta trasera y ganar persistencia en las redes objetivo.

La versión de MATA en estos ataques es similar a las versiones anteriores vinculadas al grupo de hackers norcoreano Lazarus, pero con capacidades actualizadas.

En particular, la propagación del malware a través de todos los rincones accesibles de la red corporativa se produce al violar las soluciones de cumplimiento de seguridad y explotar sus fallas.

Abusar de EDR en los ataques

La empresa de ciberseguridad descubrió la actividad en septiembre de 2022 después de examinar dos muestras de MATA que se comunicaban con servidores de comando y control (C2) dentro de las redes de la organización violadas.

Un análisis más detallado reveló que los sistemas violados eran servidores de software financiero conectados a numerosas subsidiarias de la organización objetivo.

La investigación reveló que los piratas informáticos habían expandido su posición de un solo controlador de dominio en una planta de producción a toda la red corporativa.

El ataque continuó con los piratas informáticos accediendo a dos paneles de administración de soluciones de seguridad, uno para la protección de endpoints y otro para las comprobaciones de cumplimiento.

Los piratas informáticos abusaron del acceso al panel de administración del software de seguridad para realizar vigilancia en la infraestructura de la organización y difundir malware a sus subsidiarias.


Malware MATA actualizado

En los casos en los que los objetivos eran servidores Linux, los atacantes emplearon una variante Linux de MATA en forma de archivo ELF, que parece ser similar en funcionalidad a la tercera generación del implante de Windows.

Kaspersky dice que probó tres nuevas versiones del malware MATA: una (v3) evolucionó a partir de la segunda generación vista en ataques anteriores, una segunda (v4) denominada 'MataDoor' y una tercera (v5) que fue escrita desde cero.

La última versión de MATA viene en forma de DLL y cuenta con amplias capacidades de control remoto, admite conexiones multiprotocolo (TCP, SSL, PSSL, PDTLS) a los servidores de control y admite cadenas de servidores proxy (SOCKS4, SOCKS5, HTTP+web, HTTP+NTLM).

Los 23 comandos soportados por MATA quinta generación incluyen acciones para configurar la conectividad, realizar la gestión del implante y recuperar información.

Los comandos más importantes soportados por vanilla MATA son los siguientes:

• 0x003: Se conecta al servidor C2 mediante un conjunto de comandos específico.
• 0x001: Inicia una nueva sesión de cliente que administra varios comandos desde Buffer-box.
• 0x006: Programa una reconexión con retrasos específicos y comandos en cola.
• 0x007: Devuelve información detallada del sistema y del malware, claves de cifrado, rutas de complementos, etc.
• 0x00d: Configura ajustes vitales como VictimID y parámetros de conexión.
• 0x020: Inicia la conexión con el servidor C2 y reenvía el tráfico.
• 0x022: Sondea la conexión activa a los servidores C2 y a la lista de proxys.

Los complementos adicionales cargados en el malware le permiten lanzar otros 75 comandos relacionados con la recopilación de información, la gestión de procesos, la gestión de archivos, el reconocimiento de la red, la funcionalidad de proxy y la ejecución remota de shells.


Otros hallazgos interesantes incluyen un nuevo módulo de malware que puede aprovechar los medios de almacenamiento extraíbles como USB para infectar sistemas aislados, varios ladrones capaces de capturar credenciales, cookies, capturas de pantalla y contenido del portapapeles, y herramientas de omisión de seguridad / EDR.

Los investigadores informan de que los hackers eludieron el EDR y las herramientas de seguridad utilizando un exploit disponible públicamente para CVE-2021-40449, denominado 'CallbackHell'.

Al emplear esta herramienta, los atacantes alteran la memoria del kernel y apuntan a rutinas específicas de devolución de llamada, lo que hace que las herramientas de seguridad de endpoints sean ineficaces.

Si ese método de omisión fallaba, cambiaban a técnicas de Bring Your Own Vulnerable Driver (BYOVD) previamente documentadas.


La atribución no está clara

Aunque Kaspersky asoció previamente a MATA con el grupo de hackers Lazarus, respaldado por el estado de Corea del Norte, la firma de ciberseguridad tiene problemas para asociar la actividad observada recientemente con una alta confianza.

Aunque todavía hay vínculos aparentes con la actividad de Lazarus, las nuevas variantes y técnicas de MATA, como la serialización TTLV, los protocolos multicapa y los mecanismos de protocolo de enlace, se parecen más a los de los grupos APT de los 'Cinco Ojos' como Purple, Magenta y Green Lambert.

Además, la implementación de múltiples marcos de malware y versiones de marcos MATA en un solo ataque es muy poco común, lo que indica un actor de amenazas particularmente bien dotado de recursos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El fabricante taiwanés de equipos de red D-Link ha confirmado una violación de datos que llevó a la exposición de lo que dijo que es "información semipública y de baja sensibilidad".

"Los datos no se confirmaron desde la nube, sino que probablemente se originaron en un antiguo sistema D-View 6, que llegó al final de su vida útil en 2015", dijo la compañía.

"Los datos se utilizaban para fines de registro en ese entonces. Hasta ahora, no hay evidencia que sugiera que los datos arcaicos contenían identificaciones de usuario o información financiera".

El desarrollo se produce más de dos semanas después de que una parte no autorizada alegara haber robado los datos personales de muchos funcionarios del gobierno de Taiwán, así como el código fuente del software de gestión de red D-View de D-Link, en una publicación compartida en BreachForums el 1 de octubre de 2023.

D-Link, que contrató a la firma de ciberseguridad Trend Micro para investigar el incidente, citó numerosas inexactitudes y exageraciones, afirmando que la violación llevó al compromiso de aproximadamente 700 registros "obsoletos y fragmentados", contrariamente a las afirmaciones de que los datos de millones de usuarios habían sido desviados.

"Tenemos razones para creer que las últimas marcas de tiempo de inicio de sesión fueron manipuladas intencionalmente para hacer que los datos arcaicos parezcan recientes", señaló.

También dijo que la violación ocurrió como resultado de que un empleado fue víctima inadvertidamente de un ataque de phishing, y que está tomando medidas para mejorar la seguridad de sus operaciones. Los detalles exactos del ataque no fueron revelados.

La compañía enfatizó además que es poco probable que sus clientes activos actuales se vean afectados por este incidente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Las entidades gubernamentales de la región de Asia-Pacífico (APAC) son el objetivo de una campaña de ciberespionaje de larga duración denominada TetrisPhantom.

"El atacante espió y recolectó de forma encubierta datos confidenciales de las entidades gubernamentales de APAC explotando un tipo particular de unidad USB segura, protegida por cifrado de hardware para garantizar el almacenamiento seguro y la transferencia de datos entre sistemas informáticos", dijo Kaspersky en su informe de tendencias APT para el tercer trimestre de 3.

La firma rusa de ciberseguridad, que detectó la actividad en curso a principios de 2023, dijo que las unidades USB ofrecen cifrado de hardware y son empleadas por organizaciones gubernamentales de todo el mundo para almacenar y transferir datos de forma segura, lo que plantea la posibilidad de que los ataques puedan expandirse en el futuro para tener una huella global.

El conjunto de intrusión clandestina no se ha vinculado a ningún actor o grupo de amenazas conocido, pero el alto nivel de sofisticación de la campaña apunta a un equipo de estado-nación.

"Estas operaciones fueron llevadas a cabo por un actor de amenazas altamente calificado e ingenioso, con un gran interés en las actividades de espionaje dentro de las redes gubernamentales sensibles y protegidas", dijo Noushin Shabab, investigador senior de seguridad de Kaspersky. "Los ataques fueron extremadamente selectivos y tuvieron un número bastante limitado de víctimas".

Un sello distintivo clave de la campaña es el uso de varios módulos maliciosos para ejecutar comandos y recopilar archivos e información de máquinas comprometidas y propagar la infección a otras máquinas utilizando la misma u otras unidades USB seguras como vector.

Los componentes de malware, además de autorreplicarse a través de unidades USB seguras conectadas para violar redes aisladas, también son capaces de ejecutar otros archivos maliciosos en los sistemas infectados.

"El ataque comprende herramientas y técnicas sofisticadas", dijo Kaspersky, y agregó que las secuencias de ataque también implicaron la "inyección de código en un programa de administración de acceso legítimo en la unidad USB que actúa como un cargador para el malware en una nueva máquina".

La revelación se produce cuando un nuevo y desconocido actor de amenazas persistentes avanzadas (APT) ha sido vinculado a un conjunto de ataques dirigidos a entidades gubernamentales, contratistas militares, universidades y hospitales en Rusia a través de correos electrónicos de spear-phishing que contienen documentos de Microsoft Office con trampas explosivas.

"Esto inicia un esquema de infección de varios niveles que conduce a la instalación de un nuevo troyano, que está diseñado principalmente para exfiltrar archivos de la máquina de la víctima y obtener el control mediante la ejecución de comandos arbitrarios", dijo Kaspersky.

Los ataques, cuyo nombre en clave es BadRory por parte de la empresa, se desarrollaron en forma de dos oleadas: una en octubre de 2022, seguida de una segunda en abril de 2023.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una falla de gravedad que afecta a los enrutadores celulares industriales de Milesight puede haber sido explotada activamente en ataques del mundo real, según revelan nuevos hallazgos de VulnCheck.

Rastreada como CVE-2023-43261 (puntuación CVSS: 7.5), la vulnerabilidad se ha descrito como un caso de divulgación de información que afecta a los enrutadores UR5X, UR32L, UR32, UR35 y UR41 antes de la versión 35.3.0.7 que podría permitir a los atacantes acceder a registros como httpd.log, así como a otras credenciales confidenciales.

Como resultado, esto podría permitir a los atacantes remotos y no autenticados obtener acceso no autorizado a la interfaz web, lo que permitiría configurar servidores VPN e incluso eliminar las protecciones del firewall.

"Esta vulnerabilidad se vuelve aún más grave a medida que algunos enrutadores permiten el envío y recepción de mensajes SMS", dijo a principios de este mes el investigador de seguridad Bipin Jitiya, quien descubrió el problema. "Un atacante podría explotar esta funcionalidad para actividades fraudulentas, lo que podría causar daños financieros al propietario del enrutador".

Ahora, según Jacob Baines de VulnCheck, hay evidencia de que la falla puede haber sido explotada a pequeña escala en la naturaleza.

"Observamos 5.61.39[.] 232 intentando iniciar sesión en seis sistemas el 2 de octubre de 2023", dijo Baines. "Las direcciones IP de los sistemas afectados se geolocalizan en Francia, Lituania y Noruega. No parecen estar relacionados, y todos usan diferentes credenciales no predeterminadas".


En cuatro de las seis máquinas, se dice que el actor de amenazas se ha autenticado con éxito en el primer intento. En el quinto sistema, el inicio de sesión se realizó correctamente la segunda vez, y en el sexto, la autenticación resultó en un error.

Las credenciales utilizadas para llevar a cabo el ataque se extrajeron del httpd.log, aludiendo a la militarización de CVE-2023-43261. No hay evidencia de más acciones maliciosas, aunque parece que el actor desconocido verificó la configuración y las páginas de estado.

Según VulnCheck, si bien hay aproximadamente 5,500 enrutadores Milesight expuestos a Internet, solo alrededor del 5% ejecuta versiones de firmware vulnerables y, por lo tanto, susceptibles a la falla.

"Si tiene un enrutador celular industrial Milesight, probablemente sea prudente asumir que todas las credenciales del sistema se han visto comprometidas y simplemente generar otras nuevas, y asegurarse de que no se pueda acceder a ninguna interfaz a través de Internet", dijo Baines.

Seis fallas descubiertas en los servidores Titan MFT y Titan SFTP


La revelación se produce cuando Rapid7 detalló varias fallas de seguridad en los servidores Titan MFT y Titan SFTP de South River Technologies que, si se explotan, podrían permitir el acceso remoto de superusuarios a los hosts afectados.

La lista de vulnerabilidades es la siguiente:

• CVE-2023-45685 - Ejecución remota de código autenticada a través de "Zip Slip"
• CVE-2023-45686 - Ejecución remota de código autenticado a través del recorrido de ruta WebDAV
• CVE-2023-45687 - Fijación de sesión en el servidor de administración remota
• CVE-2023-45688 - Divulgación de información a través de la ruta transversal en FTP
• CVE-2023-45689 - Divulgación de información a través de la ruta transversal en la interfaz de administración
• CVE-2023-45690 - Fuga de información a través de una base de datos legible por todo el mundo + registros

"La explotación exitosa de varios de estos problemas otorga a un atacante la ejecución remota de código como usuario raíz o SYSTEM", dijo la compañía. "Sin embargo, todos los problemas son posteriores a la autenticación y requieren configuraciones no predeterminadas y, por lo tanto, es poco probable que se exploten a gran escala".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El troyano bancario de Android conocido como SpyNote ha sido diseccionado para revelar sus diversas funciones de recopilación de información.

Por lo general, se propagan a través de campañas de phishing por SMS, las cadenas de ataque que involucran el spyware engañan a las víctimas potenciales para que instalen la aplicación haciendo clic en el enlace incrustado, según F-Secure.

Además de solicitar permisos invasivos para acceder a los registros de llamadas, la cámara, los mensajes SMS y el almacenamiento externo, SpyNote es conocido por ocultar su presencia en la pantalla de inicio de Android y en la pantalla de Recientes en un intento por dificultar la detección de Evasión.

"La aplicación de malware SpyNote se puede iniciar a través de un disparador externo", dijo el investigador de F-Secure, Amit Tambe, en un análisis publicado la semana pasada. "Al recibir la intención, la aplicación de malware inicia la actividad principal".

Pero lo más importante es que busca permisos de accesibilidad, aprovechándolos posteriormente para otorgarse permisos adicionales para grabar audio y llamadas telefónicas, registrar pulsaciones de teclas, así como capturar capturas de pantalla del teléfono a través de la API MediaProjection.

Un examen más detallado del malware ha revelado la presencia de lo que se denominan servicios intransigentes que tienen como objetivo resistir los intentos, ya sea de las víctimas o del sistema operativo, de eliminarlo.


Esto se logra registrando un receptor de transmisión que está diseñado para reiniciarlo automáticamente cada vez que está a punto de apagarse. Además, los usuarios que intentan desinstalar la aplicación maliciosa navegando a Configuración no pueden hacerlo cerrando la pantalla del menú a través de su abuso de las API de accesibilidad.

"La muestra de SpyNote es un software espía que registra y roba una variedad de información, incluidas las pulsaciones de teclas, los registros de llamadas, la información sobre las aplicaciones instaladas, etc.", dijo Tambe. "Permanece oculto en el dispositivo de la víctima, lo que dificulta su percepción. También hace que la desinstalación sea extremadamente complicada".

"Al final, a la víctima solo le queda la opción de realizar un restablecimiento de fábrica, perdiendo así todos los datos en el proceso".

La revelación se produce cuando la firma finlandesa de ciberseguridad detalló una aplicación falsa para Android que se hace pasar por una actualización del sistema operativo para atraer a los objetivos para que le otorguen permisos de servicios de accesibilidad y exfiltren SMS y datos bancarios.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login