Actualización del 17 de octubre, 16:40 EDT: Se agregó nueva información sobre los dispositivos Cisco IOS XE violados.

Los atacantes han explotado un error crítico de día cero recientemente revelado para comprometer e infectar más de 10.000 dispositivos Cisco IOS XE con implantes maliciosos.

La lista de productos que ejecutan el software Cisco IOS XE incluye switches empresariales, routers industriales y de agregación, puntos de acceso, controladores inalámbricos y más.

Según la empresa de inteligencia de amenazas VulnCheck, la vulnerabilidad de máxima gravedad (CVE-2023-20198) se ha explotado ampliamente en ataques dirigidos a sistemas Cisco IOS XE con la función de interfaz de usuario web (interfaz de usuario web) habilitada, que también tienen activada la función de servidor HTTP o HTTPS.

VulnCheck escaneó las interfaces web de Cisco IOS XE orientadas a Internet y descubrió miles de hosts infectados. La compañía también ha lanzado un escáner para detectar estos implantes en los dispositivos afectados.

"Cisco enterró la lede al no mencionar que se han implantado miles de sistemas IOS XE orientados a Internet. Esta es una mala situación, ya que el acceso privilegiado en IOS XE probablemente permite a los atacantes monitorear el tráfico de red, pivotar hacia redes protegidas y realizar cualquier cantidad de ataques de intermediarios", dijo el CTO de VulnCheck, Jacob Baines.

"Si su organización utiliza un sistema IOS XE, es imperativo que determine si sus sistemas se han visto comprometidos y tome las medidas adecuadas una vez que se hayan descubierto los implantes. Si bien aún no hay un parche disponible, puede proteger su organización deshabilitando la interfaz web y eliminando todas las interfaces de administración de Internet de inmediato".

"VulnCheck ha tomado las huellas dactilares de aproximadamente 10.000 sistemas implantados, pero solo hemos escaneado aproximadamente la mitad de los dispositivos enumerados en Shodan/Censys. No queríamos comprometernos con un número específico, ya que está evolucionando (aumentando) a medida que continuamos con nuestras actividades", dijo Baines a BleepingComputer.

Una búsqueda en Shodan de dispositivos Cisco con su interfaz de usuario web habilitada (compartida por el CEO de Aves Netsec, Simo Kohonen) muestra actualmente más de 140.000 dispositivos expuestos a Internet.


Cisco: Aplicar medidas de mitigación y buscar indicadores de incumplimiento

El lunes, Cisco reveló que los atacantes no autenticados pueden explotar el día cero de IOS XE para obtener privilegios de administrador completos y tomar el control completo sobre los routers y switches de Cisco afectados de forma remota.

La compañía advirtió a los administradores que deshabiliten la función vulnerable del servidor HTTP en todos los sistemas orientados a Internet hasta que haya un parche disponible.

Cisco detectó los ataques CVE-2023-20198 a finales de septiembre tras los informes de comportamiento inusual en un dispositivo del cliente recibidos por el Centro de Asistencia Técnica (TAC) de Cisco. La evidencia de estos ataques se remonta al 18 de septiembre, cuando se observó a los atacantes creando cuentas de usuario locales llamadas "cisco_tac_admin" y "cisco_support".

Además, los atacantes desplegaron implantes maliciosos, lo que les permitió ejecutar comandos arbitrarios a nivel del sistema o IOS en dispositivos comprometidos.

"Evaluamos que estos grupos de actividad probablemente fueron llevados a cabo por el mismo actor. Ambos grupos aparecieron muy juntos, y la actividad de octubre pareció basarse en la actividad de septiembre", dijo Cisco.

"El primer grupo fue posiblemente el intento inicial del actor y probar su código, mientras que la actividad de octubre parece mostrar que el actor expandió su operación para incluir el establecimiento de un acceso persistente a través de la implementación del implante".

La compañía también emitió una "fuerte recomendación" para que los administradores busquen cuentas de usuario sospechosas o creadas recientemente como posibles signos de actividad maliciosa vinculada a esta amenaza.

En septiembre, Cisco advirtió a los clientes que parchearan otra vulnerabilidad de día cero (CVE-2023-20109) en su software IOS e IOS XE, objetivo de los atacantes en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según los informes de los clientes, las actualizaciones del martes de parches de este mes están rompiendo las máquinas virtuales en los hosts de Hyper-V, lo que hace que ya no arranquen y muestren errores de "no se pudo iniciar".

Según las quejas de los administradores de Windows, el problema se desencadena después de instalar KB5031361 y KB5031364 en los sistemas Windows Server 2019 y Windows Server 2022.

Un portavoz de Microsoft le dijo a BleepingComputer que la compañía está al tanto del problema y está investigando.

Los siguientes errores se registrarán en el visor de eventos al intentar iniciar una máquina virtual en un sistema Hyper-V afectado:

• No se pudo iniciar la máquina virtual TOOLS. Error: 'TOOLS' no se pudo iniciar.
• No se pudo encender con el error 'Función incorrecta'.
• No se pudo abrir el archivo adjunto 'vhdx_path'. Error: 'Función incorrecta'.

Los administradores con dispositivos afectados han observado que la desinstalación de las actualizaciones problemáticas resuelve el problema, lo que permite que todas las máquinas virtuales (VM) se inicien sin ningún problema.

Esto se puede lograr mediante la herramienta Instalador independiente de Windows Update (WUSA), que ayuda a instalar y quitar paquetes de actualización a través de la API del agente de Windows Update.

Para solucionar los problemas de arranque de Hyper-V, abra un símbolo del sistema elevado haciendo clic en el menú Inicio, escribiendo cmd, haciendo clic con el botón derecho en la aplicación del símbolo del sistema y eligiendo 'Ejecutar como administrador'.

A continuación, ejecute los siguientes comandos, en función de la actualización acumulativa que haya instalado en el sistema:



Microsoft aún no ha agregado esto como un problema conocido al Panel de salud de Windows, pero, sin embargo, cuando lanzó las actualizaciones acumulativas con errores, la compañía revisó el documento de soporte para KB5031364, incluyendo y eliminando un problema conocido relacionado con VMware ESXi.

"Después de instalar esta actualización en máquinas virtuales (VM) invitadas que ejecutan Windows Server 2022 en algunas versiones de VMware ESXi, es posible que Windows Server 2022 no se inicie", decía el problema conocido ahora eliminado.

"Solo las máquinas virtuales de Windows Server 2022 con arranque seguro habilitado se ven afectadas por este problema. Las versiones afectadas de VMware ESXi son las versiones de vSphere ESXi 7.0.x y anteriores".

Redmond también lanzó actualizaciones de emergencia de Windows Server fuera de banda en enero y diciembre de 2022 para solucionar problemas conocidos que causaban que las máquinas virtuales de Hyper-V ya no se iniciaran y problemas para crear nuevas máquinas virtuales en algunos hosts de Hyper-V.

Microsoft reconoció un problema similar a principios de este año que afectó a las máquinas virtuales VMware ESXi con arranque seguro después de instalar las actualizaciones acumulativas de febrero de 2023. VMware emitió actualizaciones de emergencia de vSphere ESXi que corrigieron un error que causaba problemas de arranque después de no poder localizar un sistema operativo de arranque.

Actualización del 17 de octubre a las 13:23 EDT: Se ha agregado una declaración de Microsoft.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha anunciado que planea eliminar NT LAN Manager (NTLM) en Windows 11 en el futuro, a medida que gira hacia métodos alternativos para la autenticación y refuerza la seguridad.

"La atención se centra en fortalecer el protocolo de autenticación Kerberos, que ha sido el predeterminado desde el año 2000, y reducir la dependencia de NT LAN Manager (NTLM)", dijo el gigante tecnológico. "Las nuevas características para Windows 11 incluyen la autenticación inicial y de paso a través mediante Kerberos (IAKerb) y un centro de distribución de claves (KDC) local para Kerberos".

IAKerb permite a los clientes autenticarse con Kerberos en una amplia gama de topologías de red. La segunda característica, un centro de distribución de claves (KDC) local para Kerberos, amplía la compatibilidad con Kerberos a las cuentas locales.

Introducido por primera vez en la década de 1990, NTLM es un conjunto de protocolos de seguridad destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios. Es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta que demuestra a un servidor o controlador de dominio que un usuario conoce la contraseña asociada a una cuenta.

Desde entonces, ha sido suplantado por otro protocolo de autenticación llamado Kerberos desde el lanzamiento de Windows 2000, aunque NTLM se sigue utilizando como mecanismo de reserva.

"La principal diferencia entre NTLM y Kerberos está en la forma en que los dos protocolos gestionan la autenticación. NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar a un usuario", señala CrowdStrike. "Kerberos utiliza un proceso de dos partes que aprovecha un servicio de concesión de tickets o un centro de distribución de claves".

Otra distinción crucial es que, mientras que NTLM se basa en el hash de contraseñas, Kerberos aprovecha el cifrado.

Además de las debilidades de seguridad inherentes a NTLM, la tecnología se ha vuelto vulnerable a los ataques de retransmisión, lo que podría permitir a los malos actores interceptar los intentos de autenticación y obtener acceso no autorizado a los recursos de la red.

Microsoft dijo que también está trabajando para abordar las instancias NTLM codificadas en sus componentes en preparación para el cambio para deshabilitar finalmente NTLM en Windows 11, y agregó que está realizando mejoras que fomentan el uso de Kerberos en lugar de NTLM.

"Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios", dijo Matthew Palko, líder senior de gestión de productos de Microsoft en Enterprise and Security. "NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubuntu, la distribución más popular de Linux, ha retirado su versión de escritorio 23.10 después de que se descubriera que sus traducciones al ucraniano contenían discursos de odio.

Según el proyecto Ubuntu, un colaborador malicioso está detrás de los insultos antisemitas, homofóbicos y xenófobos que se inyectaron en la distribución a través de una "herramienta de terceros" que vive fuera del Archivo Ubuntu.

Traducciones al ucraniano con hilos "insultantes"

Esta semana, Ubuntu retiró su instalador de escritorio 23.10 después de detectar cadenas insultantes enterradas en su lanzamiento ucraniano.

"Hemos identificado el discurso de odio de un colaborador malicioso en algunas de nuestras traducciones enviadas como parte de una herramienta de terceros fuera del Archivo Ubuntu", anunció el proyecto.

"La imagen de Ubuntu 23.10 ha sido eliminada y una nueva versión estará disponible una vez que se hayan restaurado las traducciones correctas".

En su foro de la comunidad, el equipo de Ubuntu explicó además que las traducciones maliciosas al ucraniano fueron enviadas por un colaborador de la comunidad a un "servicio público en línea de terceros" en el que confiaba el instalador de escritorio de Ubuntu para proporcionar soporte de idiomas.


Una solicitud de extracción de GitHub descubierta por los usuarios de Reddit [1, 2] y vista por BleepingComputer eliminó las "cadenas [de localización] insultantes" alrededor del 12 de octubre.

BleepingComputer observó que las cadenas ucranianas crípticas y maliciosas fueron inyectadas por un usuario con el nombre de "Danilo Negrilo" hacia el final del archivo de traducciones, lo que las hacía más difíciles de detectar.

Aunque las traducciones malintencionadas han sido descubiertas en un momento de crecientes tensiones en Oriente Medio, la historia confirma que el sabotaje ocurrió alrededor del 22 de septiembre, antes de que entrara en vigor la guerra entre Israel y Hamas.

Preocupaciones sobre las inyecciones de malware

Dado que el impacto de este incidente se limitó a las traducciones, los usuarios han expresado su preocupación por la posibilidad de malware que podría inyectarse en futuras versiones de Ubuntu a través de dependencias de manera similar.

"Confío en Ubuntu porque es el más utilizado por lo que debería tener el mejor equipo de revisión, pero si esto pasó con las traducciones y nadie lo vio, imagínate con dependencias con malware inyectado", publicó un usuario en X (antes Twitter). "Creo que nadie revisa nada".

"Si esto es cierto, entonces eso significa que no estás probando las versiones beta de tu distro que no están en inglés", dijo otro.

"Las posibilidades de malware de actores de mala fe son enormes. Esto es algo que hay que superar. No eres elementaryOS. Eres una gran empresa y esto no debería suceder".

Sin embargo, vale la pena señalar que revisar las traducciones enviadas en diferentes idiomas, a menos que los propios desarrolladores dominen estos idiomas, es una tarea mucho más desafiante para la que una auditoría de seguridad de código regular puede no estar diseñada.

Además, las dependencias, el código y los componentes de código abierto pueden someterse a un proceso de validación independiente, destinado a frustrar el malware, que el adecuado para las traducciones, lo que hace que incidentes como estos sean más difíciles de descubrir.

Ubuntu ahora ha restaurado sus traducciones al ucraniano "al estado antes de que fuera saboteado", pero está dedicando tiempo adicional a "una auditoría más amplia antes de ponerlo oficialmente a disposición".

Mientras tanto, se recomienda a los usuarios que descarguen Ubuntu Desktop 23.10 desde la página de descargas de Ubuntu utilizando la ISO del instalador heredado que no se ve afectada por el incidente. Alternativamente, los usuarios pueden actualizar desde una versión de Ubutnu previamente compatible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Valve ha anunciado la implementación de medidas de seguridad adicionales para los desarrolladores que publican juegos en Steam, incluidos los códigos de confirmación basados en SMS. Esto es para hacer frente a un brote reciente de actualizaciones maliciosas que impulsan malware desde cuentas de editores comprometidas.

Steamworks es un conjunto de herramientas y servicios que los desarrolladores y editores de juegos/software utilizan para distribuir sus productos en la plataforma Steam.

Es compatible con DRM (gestión de derechos digitales), multijugador, transmisión de video, emparejamiento, sistema de logros, voz y chat en el juego, microtransacciones, estadísticas, guardado en la nube y uso compartido de contenido creado por la comunidad (Steam Workshop).

A partir de finales de agosto y hasta septiembre de 2023, ha habido un número elevado de informes sobre cuentas de Steamworks comprometidas y los atacantes que cargan compilaciones maliciosas que infectan a los jugadores con malware.

Valve aseguró a la comunidad de jugadores que el impacto de estos ataques se limitó a unos pocos cientos de usuarios, que fueron informados individualmente de la posible violación a través de avisos enviados por la compañía.


Para frenar este problema, Valve aplicará una nueva comprobación de seguridad basada en SMS a partir del 24 de octubre de 2023, que los desarrolladores de juegos deben pasar antes de enviar una actualización a la rama de lanzamiento predeterminada (no a las versiones beta).

El mismo requisito se aplicará cuando alguien intente agregar nuevos usuarios al grupo de socios de Steamworks, que ya está protegido por una confirmación basada en correo electrónico. A partir del 24 de octubre, el administrador del grupo debe verificar la acción con un código SMS.

"Como parte de una actualización de seguridad, cualquier configuración de cuenta de Steamworks que se cree en vivo en la rama predeterminada/pública de una aplicación lanzada deberá tener un número de teléfono asociado con su cuenta para que Steam pueda enviarle un mensaje de texto con un código de confirmación antes de continuar", se lee en el anuncio de Valve de principios de esta semana.

"Lo mismo ocurrirá con cualquier cuenta de Steamworks que necesite agregar nuevos usuarios. Este cambio se implementará el 24 de octubre de 2023, así que asegúrese de agregar un número de teléfono a su cuenta ahora".

"También planeamos agregar este requisito para otras acciones de Steamworks en el futuro".

Para aquellos que usan la API SetAppBuildLive, Steam la ha actualizado para requerir un SteamID para la confirmación, particularmente para los cambios en la rama predeterminada de una aplicación lanzada.

El uso de "steamcmd" para poner en marcha las compilaciones ya no es aplicable para administrar la rama predeterminada de las aplicaciones publicadas.

Además, Valve dice que no habrá una solución para los desarrolladores sin un número de teléfono, por lo que deben encontrar una manera de recibir mensajes de texto para continuar publicando en la plataforma.

No es una solución perfecta

Si bien la introducción de la verificación basada en SMS es un buen paso para lograr una mejor seguridad de la cadena de suministro en Steam, el sistema está lejos de ser perfecto.

Uno de los desarrolladores del juego, Benoît Freslon, explicó que fue infectado con un malware de robo de información que se utilizó para robar sus credenciales.

Usando estas credenciales robadas, el actor de amenazas lanzó brevemente una actualización maliciosa para NanoWar: Cells VS Virus que infectó a los jugadores con malware.

Freslon explicó en Twitter que la nueva medida de seguridad MFA basada en SMS de Valve no habría ayudado a detener el ataque, ya que el malware ladrón de información arrebató tokens de sesión a todas sus cuentas.


En una publicación separada en su sitio web, el desarrollador del juego explicó que el ataque ocurrió en Discord, y los actores de amenazas lo engañaron para que descargara y revisara un juego de Unity llamado "Extreme Invaders".

El instalador del juego dejó caer un malware de robo de contraseñas en su computadora, que se dirigía a sus cuentas de Discord, Steam, Twitch, Twitter y otras.

Hasta que los tokens fueron revocados o expiraron, los atacantes continuaron accediendo a las cuentas del desarrollador, permaneciendo libres para enviar actualizaciones de juegos con malware a los jugadores.

Además, SMS 2FA es inherentemente vulnerable a los ataques de intercambio de SIM en los que los actores de amenazas pueden transferir el número de un desarrollador de juegos a una nueva SIM y eludir la medida de seguridad.

Una solución mejor y más moderna sería aplicar aplicaciones de autenticación o claves de seguridad físicas, especialmente para proyectos con grandes comunidades.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que un malware conocido como DarkGate se propaga a través de plataformas de mensajería instantánea como Skype y Microsoft Teams.

En estos ataques, las aplicaciones de mensajería se utilizan para entregar un script de carga de Visual Basic for Applications (VBA) que se hace pasar por un documento PDF que, cuando se abre, desencadena la descarga y ejecución de un script AutoIt diseñado para iniciar el malware.

"No está claro cómo se vieron comprometidas las cuentas de origen de las aplicaciones de mensajería instantánea, sin embargo, se plantea la hipótesis de que fue a través de credenciales filtradas disponibles a través de foros clandestinos o el compromiso previo de la organización matriz", dijo Trend Micro en un nuevo análisis publicado el jueves.

DarkGate, documentado por primera vez por Fortinet en noviembre de 2018, es un malware básico que incorpora una amplia gama de funciones para recopilar datos confidenciales de los navegadores web, realizar minería de criptomonedas y permitir a sus operadores controlar de forma remota los hosts infectados. También funciona como un descargador de cargas útiles adicionales como Remcos RAT.

Las campañas de ingeniería social que distribuyen el malware han experimentado un aumento en los últimos meses, aprovechando las tácticas de entrada iniciales, como los correos electrónicos de phishing y el envenenamiento de la optimización de motores de búsqueda (SEO) para atraer a los usuarios involuntarios a instalarlo.

El repunte sigue a la decisión del autor del malware de anunciar el malware en foros clandestinos y alquilarlo como malware como servicio a otros actores de amenazas después de años de usarlo de forma privada.

El uso del mensaje de chat de Microsoft Teams como vector de propagación para DarkGate fue destacado previamente por Truesec a principios del mes pasado, lo que indica que es probable que varios actores de amenazas lo estén utilizando.


La mayoría de los ataques se han detectado en América, seguidos de cerca por Asia, Oriente Medio y África, según Trend Micro.

El procedimiento general de infección que abusa de Skype y Teams se parece mucho a una campaña de malspam informada por Telekom Security a finales de agosto de 2023, salvo por el cambio en la ruta de acceso inicial.

"El actor de amenazas abusó de una relación de confianza entre las dos organizaciones para engañar al destinatario para que ejecutara el script VBA adjunto", dijeron los investigadores de Trend Micro Trent Bessell, Ryan Maglaque, Aira Marcelo, Jack Walsh y David Walsh.

"El acceso a la cuenta de Skype de la víctima permitió al actor secuestrar un hilo de mensajería existente y crear la convención de nomenclatura de los archivos para que se relacionaran con el contexto del historial de chat".

El script VBA sirve como un conducto para obtener la aplicación AutoIt legítima (AutoIt3.exe) y un script AutoIT asociado responsable de iniciar el malware DarkGate.

Una secuencia de ataque alternativa implica que los atacantes envíen un mensaje de Microsoft Teams que contiene un archivo adjunto ZIP que contiene un archivo LNK que, a su vez, está diseñado para ejecutar un script VBA para recuperar AutoIt3.exe y el artefacto DarkGate.

"Los ciberdelincuentes pueden usar estas cargas útiles para infectar sistemas con varios tipos de malware, incluidos ladrones de información, ransomware, herramientas de administración remota maliciosas y/o abusadas y mineros de criptomonedas", dijeron los investigadores.

"Siempre que se permita la mensajería externa, o que no se controle el abuso de las relaciones de confianza a través de cuentas comprometidas, esta técnica para la entrada inicial se puede realizar con cualquier aplicación de mensajería instantánea (IM)".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El personal militar de la Unión Europea y los líderes políticos que trabajan en iniciativas de igualdad de género se han convertido en el objetivo de una nueva campaña que ofrece una versión actualizada de RomCom RAT llamada PEAPOD.

La firma de ciberseguridad Trend Micro atribuyó los ataques a un actor de amenazas que rastrea bajo el nombre de Void Rabisu, que también se conoce como Storm-0978, Tropical Scorpius y UNC2596, y también se cree que está asociado con el ransomware Cuba.

El colectivo adversario es un grupo inusual en el sentido de que lleva a cabo ataques tanto por motivos financieros como de espionaje, difuminando la línea entre sus modos de operación. También está vinculado exclusivamente al uso de RomCom RAT.

Los ataques que involucran el uso de la puerta trasera han señalado a Ucrania y a los países que apoyan a Ucrania en su guerra contra Rusia durante el último año.

A principios de este mes de julio, Microsoft implicó a Void Rabisu en la explotación de CVE-2023-36884, un fallo de ejecución remota de código en Office y Windows HTML, mediante el uso de señuelos de documentos de Microsoft Office especialmente diseñados relacionados con el Congreso Mundial de Ucrania.

RomCom RAT es capaz de interactuar con un servidor de comando y control (C&C) para recibir comandos y ejecutarlos en la máquina de la víctima, al mismo tiempo que incluye técnicas de evasión de defensa, marcando una evolución constante en su sofisticación.

El malware generalmente se distribuye a través de correos electrónicos de spear-phishing altamente dirigidos y anuncios falsos en motores de búsqueda como Google y Bing para engañar a los usuarios para que visiten sitios de señuelo que alojan versiones troyanizadas de aplicaciones legítimas.


"Void Rabisu es uno de los ejemplos más claros en los que vemos una mezcla de las tácticas, técnicas y procedimientos (TTP) típicos utilizados por los actores de amenazas cibercriminales y los TTP utilizados por los actores de amenazas patrocinados por estados-nación motivados principalmente por objetivos de espionaje", dijo Trend Micro.

El último conjunto de ataques detectados por la compañía en agosto de 2023 también ofrece RomCom RAT, solo que es una iteración actualizada y reducida del malware que se distribuye a través de un sitio web llamado wplsummit[.] com, que es una réplica del legítimo wplsummit[.] org.

En el sitio web está presente un enlace a una carpeta de Microsoft OneDrive que alberga un ejecutable llamado "Unpublished Pictures 1-20230802T122531-002-sfx.exe", un archivo de 21.6 MB que tiene como objetivo imitar una carpeta que contiene fotos de la Cumbre de Mujeres Líderes Políticas (WPL) que tuvo lugar en junio de 2023.

El binario es un descargador que coloca 56 imágenes en el sistema de destino como señuelo, mientras recupera un archivo DLL de un servidor remoto. Se dice que estas fotos fueron obtenidas por el actor malicioso de publicaciones individuales en varias plataformas de redes sociales como LinkedIn, X (anteriormente conocida como Twitter) e Instagram.

El archivo DLL, por su parte, establece contacto con otro dominio para obtener el artefacto PEAPOD de tercera etapa, que admite 10 comandos en total, frente a los 42 comandos admitidos por su predecesor.

La versión revisada está equipada para ejecutar comandos arbitrarios, descargar y cargar archivos, obtener información del sistema e incluso desinstalarse del host comprometido. Al reducir el malware a las características más esenciales, la idea es limitar su huella digital y complicar los esfuerzos de detección.

"Si bien no tenemos evidencia de que Void Rabisu esté patrocinado por un estado-nación, es posible que sea uno de los actores de amenazas motivados financieramente de la clandestinidad criminal que se vio arrastrado a actividades de ciberespionaje debido a las extraordinarias circunstancias geopolíticas causadas por la guerra en Ucrania", dijo Trend Micro.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft anunció a principios de esta semana que el protocolo de autenticación NTLM se eliminará en Windows 11 en el futuro.

NTLM (abreviatura de New Technology LAN Manager) es una familia de protocolos que se utilizan para autenticar a los usuarios remotos y proporcionar seguridad de sesión.

Kerberos, otro protocolo de autenticación, ha reemplazado a NTLM y ahora es el protocolo de autenticación predeterminado actual para los dispositivos conectados a un dominio en todas las versiones de Windows anteriores a Windows 2000.

Si bien era el protocolo predeterminado que se usaba en las versiones anteriores de Windows, NTLM todavía se usa hoy en día y, si, por alguna razón, se produce un error en Kerberos, se usará NTLM en su lugar.

Los actores de amenazas han explotado ampliamente NTLM en ataques de retransmisión NTLM en los que obligan a los dispositivos de red vulnerables (incluidos los controladores de dominio) a autenticarse en servidores bajo el control de los atacantes, elevando los privilegios para obtener un control completo sobre el dominio de Windows.

A pesar de esto, NTLM todavía se usa en servidores Windows, lo que permite a los atacantes explotar vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, diseñadas para eludir las mitigaciones de ataques de retransmisión NTLM.

NTLM también ha sido blanco de ataques pass-the-hash, en los que los ciberdelincuentes explotan las vulnerabilidades del sistema o despliegan software malicioso para adquirir hashes NTLM, que representan contraseñas hash, de un sistema objetivo.

Una vez en posesión del hash, los atacantes pueden utilizarlo para autenticarse como el usuario comprometido, obteniendo así acceso a datos confidenciales y propagados lateralmente en la red.


Microsoft dice que los desarrolladores ya no deberían usar NTLM en sus aplicaciones desde 2010, y ha estado aconsejando a los administradores de Windows que deshabiliten NTLM o configuren sus servidores para bloquear los ataques de retransmisión NTLM utilizando Active Directory Certificate Services (AD CS).

Sin embargo, Microsoft ahora está trabajando en dos nuevas características de Kerberos: IAKerb (autenticación inicial y de paso a través mediante Kerberos) y KDC local (Centro de distribución de claves locales).

"El KDC local para Kerberos se basa en el Administrador de cuentas de seguridad de la máquina local, por lo que la autenticación remota de las cuentas de usuario locales se puede realizar mediante Kerberos", explicó Matthew Palko de Microsoft.

"Esto aprovecha IAKerb para permitir que Windows pase mensajes Kerberos entre máquinas locales remotas sin tener que agregar soporte para otros servicios empresariales como DNS, netlogon o DCLocator. IAKerb tampoco requiere que abramos nuevos puertos en la máquina remota para aceptar mensajes Kerberos".

Microsoft tiene la intención de introducir las dos nuevas características de Kerberos en Windows 11 para ampliar su uso y abordar dos desafíos importantes que conducen a la reserva de Kerberos a NTLM.

La primera característica, IAKerb, permite a los clientes autenticarse con Kerberos en una gama más amplia de topologías de red. La segunda característica implica un centro de distribución de claves (KDC) local para Kerberos, que amplía la compatibilidad con Kerberos a las cuentas locales.

Redmond también planea ampliar los controles de administración de NTLM, proporcionando a los administradores una mayor flexibilidad para supervisar y restringir el uso de NTLM dentro de sus entornos.

"Reducir el uso de NTLM culminará en última instancia en su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo", dijo Palko.

"Mientras tanto, puede usar los controles mejorados que estamos proporcionando para obtener una ventaja. Una vez deshabilitados de forma predeterminada, los clientes también podrán usar estos controles para volver a habilitar NTLM por razones de compatibilidad".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los ciberdelincuentes están empleando una novedosa técnica de distribución de código denominada 'EtherHiding', que abusa de los contratos Smart Chain (BSC) de Binance para ocultar scripts maliciosos en la cadena de bloques.

Los actores de amenazas responsables de esta campaña utilizaron anteriormente sitios de WordPress comprometidos que redirigían a hosts de Cloudflare Worker para inyectar JavaScript malicioso en sitios web pirateados, pero luego pasaron a abusar de los sistemas blockchain que proporcionan un canal de distribución mucho más resistente y evasivo.

"En los últimos dos meses, aprovechando una amplia gama de sitios de WordPress secuestrados, este actor de amenazas ha engañado a los usuarios para que descarguen actualizaciones maliciosas falsas del navegador", mencionan los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, quienes descubrieron la campaña.

"Si bien su método inicial de alojar código en hosts de Cloudflare Worker abusados fue eliminado, han cambiado rápidamente para aprovechar la naturaleza descentralizada, anónima y pública de blockchain. Esta campaña está en marcha y es más difícil que nunca detectarla y eliminarla".

Malware EtherHiding

EtherHiding es una nueva técnica de los actores de amenazas denominada 'ClearFake' para distribuir código que se inyecta en sitios web pirateados para mostrar superposiciones falsas de actualizaciones del navegador.

Guardio Labs explica que los piratas informáticos se dirigen a sitios vulnerables de WordPress o credenciales de administrador comprometidas para inyectar dos etiquetas de script en páginas web.

Estas inyecciones de scripts cargan la biblioteca JS de Binance Smart Chain (BSC) y obtienen scripts maliciosos de la cadena de bloques que luego se inyectan en el sitio.


Este código obtenido de BSC también se inyecta en la página web para desencadenar la descarga de la carga útil de la tercera etapa, esta vez desde los servidores del actor de amenazas (C2).

La dirección C2 se refiere directamente desde la cadena de bloques, por lo que los atacantes pueden cambiarla fácilmente con frecuencia para evadir bloqueos.

Estas cargas útiles de tercera etapa se ejecutan en el navegador del usuario para mostrar una superposición falsa en el sitio que solicita a los usuarios que actualicen su navegador Google Chrome, Microsoft Edge o Mozilla Firefox.


Una vez que la víctima hace clic en el botón de actualización, se le dirige a descargar un ejecutable malicioso de Dropbox u otros sitios de alojamiento legítimos.


Ventaja de la cadena de bloques

La cadena de bloques está diseñada para ejecutar aplicaciones descentralizadas y contratos inteligentes, y cualquier código alojado en ella no se puede eliminar, por lo que alojarlo allí en lugar de usar infraestructura alquilada hace que estos ataques sean imbloqueables.

Cuando uno de sus dominios se marca, los atacantes actualizan la cadena para intercambiar el código malicioso y los dominios relacionados, continuando el ataque con una interrupción mínima.

Además, no hay cargos por realizar estos cambios, por lo que los ciberdelincuentes pueden esencialmente abusar del sistema tanto como necesiten sin sufrir una carga financiera que haga que sus operaciones no sean rentables.


Una vez que se implementa un contrato inteligente en el BSC, funciona de forma autónoma y no se puede cerrar. Incluso reportar la dirección como maliciosa no evitará que distribuya el código malicioso cuando se invoque.

Guardio Labs dice que informar de la dirección activa una advertencia en la página del explorador BSC de Binance para alertar a los usuarios de que no interactúen con la dirección. Sin embargo, los visitantes de sitios de WordPress comprometidos nunca verán esa advertencia ni se darán cuenta de lo que sucede bajo el capó.


La única forma de mitigar el problema es centrarse en la seguridad de WordPress, utilizando contraseñas de administrador seguras y únicas, manteniendo los plugins actualizados y eliminando los complementos y cuentas no utilizados.

Si bien actualmente es una evolución de las campañas de ClearFake, EtherHiding presenta las tácticas en constante evolución de los actores de amenazas para hacer que sus ataques sean más resistentes a la eliminación.

Si este método tiene éxito, el abuso de Blockchain podría convertirse en parte integral de varias cadenas de ataque de entrega de carga útil en los próximos meses.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha descubierto que un paquete malintencionado hospedado en el administrador de paquetes NuGet para .NET Framework proporciona un troyano de acceso remoto denominado SeroXen RAT.

El paquete, llamado Pathoschild.Stardew.Mod.Build.Config y publicado por un usuario llamado Disti, es un error tipográfico de un paquete legítimo llamado Pathoschild.Stardew.ModBuildConfig, dijo la firma de seguridad de la cadena de suministro de software Phylum en un informe hoy.

Si bien el paquete real ha recibido casi 79,000 descargas hasta la fecha, se dice que la variante maliciosa infló artificialmente su recuento de descargas después de su publicación el 6 de octubre de 2023, para superar las 100,000 descargas.

El perfil detrás del paquete ha publicado otros seis paquetes que han atraído no menos de 2.1 millones de descargas acumulativas, cuatro de los cuales se hacen pasar por bibliotecas para varios servicios criptográficos como Kraken, KuCoin, Solana y Monero, pero también están diseñados para implementar SeroXen RAT.

La cadena de ataque se inicia durante la instalación del paquete mediante un script tools/init.ps1 que está diseñado para lograr la ejecución de código sin activar ninguna advertencia, un comportamiento previamente revelado por JFrog en marzo de 2023 como explotado para recuperar malware de la siguiente etapa.

"Aunque está en desuso, el script init.ps1 sigue siendo respetado por Visual Studio y se ejecutará sin ninguna advertencia al instalar un paquete NuGet", dijo JFrog en ese momento. "Dentro del archivo .ps1, un atacante puede escribir comandos arbitrarios".

En el paquete analizado por Phylum, el script de PowerShell se usa para descargar un archivo denominado x.bin desde un servidor remoto que, en realidad, es un script de Windows Batch muy ofuscado, que, a su vez, es responsable de construir y ejecutar otro script de PowerShell para implementar finalmente el RAT de SeroXen.

SeroXen RAT, un malware listo para usar, se ofrece a la venta por $ 60 por un paquete de por vida, lo que lo hace fácilmente accesible para los ciberdelincuentes. Es un RAT sin archivos que combina las funciones de Quasar RAT, el rootkit r77 y la herramienta de línea de comandos de Windows NirCmd.

"El descubrimiento de SeroXen RAT en los paquetes NuGet solo subraya cómo los atacantes continúan explotando los ecosistemas de código abierto y los desarrolladores que los usan", dijo Phylum.

El desarrollo se produce cuando la compañía detectó siete paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por ofertas legítimas de proveedores de servicios en la nube como Aliyun, Amazon Web Services (AWS) y Tencent Cloud para transmitir subrepticiamente las credenciales a una URL remota ofuscada.

Los nombres de los paquetes se enumeran a continuación:

• tencent-cloud-python-sdk
• python-alibabacloud-sdk-core
• AlibabaCloud-OSS2
• python-alibabacloud-tea-openapi
• aws-enumerate-iam
• enumerate-iam-aws
• alisdkcore

"En esta campaña, el atacante está explotando la confianza de un desarrollador, tomando una base de código existente y bien establecida e insertando un solo bit de código malicioso destinado a exfiltrar credenciales confidenciales en la nube", señaló Phylum.

"La sutileza radica en la estrategia del atacante de preservar la funcionalidad original de los paquetes, intentando pasar desapercibidos, por así decirlo. El ataque es minimalista y simple, pero efectivo".

Checkmarx, que también compartió detalles adicionales de la misma campaña, dijo que también está diseñada para apuntar a Telegram a través de un paquete engañoso llamado telethon2, que tiene como objetivo imitar telethon, una biblioteca de Python para interactuar con la API de Telegram.

La mayoría de las descargas de las bibliotecas falsificadas se han originado en los EE. UU., seguidos de China, Singapur, Hong Kong, Rusia y Francia.


"En lugar de realizar una ejecución automática, el código malicioso dentro de estos paquetes se ocultó estratégicamente dentro de las funciones, diseñadas para activarse solo cuando se llamaba a estas funciones", dijo la compañía. "Los atacantes aprovecharon las técnicas de Typosquatting y StarJacking para atraer a los desarrolladores a sus paquetes maliciosos".

A principios de este mes, Checkmarx expuso aún más una campaña implacable y progresivamente sofisticada dirigida a PyPI para sembrar la cadena de suministro de software con 271 paquetes maliciosos de Python con el fin de robar datos confidenciales y criptomonedas de los hosts de Windows.

Los paquetes, que también venían equipados con funciones para desmantelar las defensas del sistema, se descargaron colectivamente aproximadamente 75.000 veces antes de ser eliminados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han lanzado parches para dos fallos de seguridad que afectan a la biblioteca de transferencia de datos de Curl, el más grave de los cuales podría dar lugar a la ejecución de código.

La lista de vulnerabilidades es la siguiente:

• CVE-2023-38545 (puntuación CVSS: 7,5): vulnerabilidad de desbordamiento de búfer basada en montón SOCKS5
• CVE-2023-38546 (puntuación CVSS: 5,0) - Inyección de cookies sin archivo

CVE-2023-38545 es el más grave de los dos, y ha sido descrito por el desarrollador principal del proyecto, Daniel Stenberg, como "probablemente el peor fallo de seguridad de Curl en mucho tiempo". Afecta a las versiones de libcurl 7.69.0 a 8.3.0 inclusive.

"Esta falla hace que Curl se desborde como un búfer basado en un montón en el protocolo de enlace proxy SOCKS5", dijeron los mantenedores en un aviso. "Cuando se le pide a Curl que pase el nombre de host al proxy SOCKS5 para permitir que resuelva la dirección en lugar de que lo haga el propio Curl, la longitud máxima que puede tener ese nombre de host es de 255 bytes".

"Si se detecta que el nombre de host tiene más de 255 bytes, Curl cambia a la resolución de nombre local y, en su lugar, pasa la dirección resuelta solo al proxy. Debido a un error, la variable local que significa 'dejar que el host resuelva el nombre' podría obtener el valor incorrecto durante un protocolo de enlace SOCKS5 lento y, contrariamente a la intención, copiar el nombre de host demasiado largo en el búfer de destino en lugar de copiar solo la dirección resuelta allí".

Curl dijo que la vulnerabilidad probablemente podría ser explotada sin la necesidad de un ataque de denegación de servicio y que se podría desencadenar un desbordamiento con un servidor HTTPS malicioso que realice una redirección a una URL especialmente diseñada.

"Al ver que Curl es un proyecto ubicuo, se puede asumir con buena confianza que esta vulnerabilidad será explotada en la naturaleza para la ejecución remota de código, con exploits más sofisticados que se están desarrollando", dijo JFrog. "Sin embargo, el conjunto de condiciones previas necesarias para que una máquina sea vulnerable es más restrictivo de lo que se creía inicialmente".

"Un exploit válido requeriría que un atacante desencadenara la ejecución de código, por ejemplo, pasando un nombre de host a una aplicación web que desencadenaría la ejecución de código en Curl", dijo Johannes B. Ullrich, decano de investigación en el Instituto de Tecnología SANS. "A continuación, el exploit solo existe si Curl se usa para conectarse a un proxy SOCKS5. Esta es otra dependencia, lo que hace que la explotación sea menos probable".

La segunda vulnerabilidad, que afecta a las versiones 7.9.1 a 8.3.0 de libcurl, permite a un actor malintencionado insertar cookies a voluntad en un programa en ejecución que utiliza libcurl en circunstancias específicas.

Los parches para ambas fallas están disponibles en la versión 8.4.0 lanzada el 11 de octubre de 2023. En concreto, la actualización garantiza que Curl ya no cambie al modo de resolución local si un nombre de host es demasiado largo, lo que mitiga el riesgo de desbordamientos de búfer basados en montón.

"Esta familia de defectos habría sido imposible si Curl se hubiera escrito en un lenguaje seguro para la memoria en lugar de C, pero portar Curl a otro idioma no está en la agenda", agregó Stenberg.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ha publicado actualizaciones de seguridad para iPhones y iPads más antiguos para los parches de backport lanzados hace una semana, abordando dos vulnerabilidades de día cero explotadas en los ataques.

"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS anteriores a iOS 16.6", dijo la compañía en un aviso.

El primer día cero (rastreado como CVE-2023-42824) es una vulnerabilidad de escalada de privilegios causada por una debilidad en el kernel XNU que puede permitir a los atacantes locales elevar los privilegios en iPhones y iPads vulnerables.

Apple ahora también ha solucionado el problema en iOS 16.7.1 y iPadOS 16.7.1 con comprobaciones mejoradas, pero aún no ha revelado quién descubrió e informó la falla.

El segundo, un error identificado como CVE-2023-5217, es causado por una vulnerabilidad de desbordamiento de búfer de pila dentro de la codificación VP8 de la biblioteca de códecs de video libvpx de código abierto. Esta falla podría permitir que los actores de amenazas obtengan la ejecución de código arbitrario tras una explotación exitosa.

A pesar de que Apple no confirmó ningún caso de explotación en la naturaleza, Google parcheó previamente el error libvpx como un día cero en su navegador web Chrome. Microsoft también abordó la misma vulnerabilidad en sus productos Edge, Teams y Skype.

Google atribuyó el descubrimiento de CVE-2023-5217 al investigador de seguridad Clément Lecigne, miembro del Grupo de Análisis de Amenazas (TAG) de Google, un equipo de expertos en seguridad conocido por descubrir los días cero explotados en ataques de spyware dirigidos respaldados por el estado dirigidos a personas de alto riesgo.

La lista de dispositivos afectados por los dos errores de día cero es extensa e incluye:

• iPhone 8 y modelos posteriores
• iPad Pro (todos los modelos), iPad Air de 3.ª generación y posteriores, iPad de 5.ª generación y posteriores, y iPad mini de 5.ª generación y posteriores

CISA agregó las dos vulnerabilidades [1, 2] a su Catálogo de Vulnerabilidades Explotadas Conocidas la semana pasada, ordenando a las agencias federales que protejan sus dispositivos contra ataques entrantes.

Apple también abordó recientemente tres días cero (CVE-2023-41991, CVE-2023-41992 y CVE-2023-41993) que informaron investigadores de Citizen Lab y Google TAG. Los actores de amenazas los explotaron para implementar el software espía Predator de Cytrox.

Además, Citizen Lab encontró otras dos vulnerabilidades de día cero (CVE-2023-41061 y CVE-2023-41064) que fueron corregidas por Apple el mes pasado.

Estas fallas se explotaron como parte de una cadena de exploits de clic cero conocida como BLASTPASS y se utilizaron para instalar el software espía Pegasus de NSO Group en iPhones completamente parcheados.

Desde principios de año, Apple parcheó 18 vulnerabilidades de día cero explotadas en la naturaleza para atacar iPhones y Macs, que incluyen:

• dos días cero (CVE-2023-37450 y CVE-2023-38606) en julio
• tres días cero (CVE-2023-32434, CVE-2023-32435 y CVE-2023-32439) en junio
• tres días cero más (CVE-2023-32409, CVE-2023-28204 y CVE-2023-32373) en mayo
• dos días cero (CVE-2023-28206 y CVE-2023-28205) en abril
• y otro WebKit de día cero (CVE-2023-23529) en febrero

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una campaña recientemente descubierta denominada "Stayin' Alive" se dirige a organizaciones gubernamentales y proveedores de servicios de telecomunicaciones de toda Asia desde 2021, utilizando una amplia variedad de malware "desechable" para evadir la detección.

La mayoría de los objetivos de la campaña vistos por la empresa de ciberseguridad Check Point se encuentran en Kazajistán, Uzbekistán, Pakistán y Vietnam, mientras que la campaña aún está en marcha.

Los ataques parecen originarse en el actor de espionaje chino conocido como 'ToddyCat', que se basa en mensajes de spear-phishing que llevan archivos adjuntos maliciosos para cargar una variedad de cargadores de malware y puertas traseras.


Los investigadores explican que los actores de amenazas utilizan muchos tipos diferentes de herramientas personalizadas, que creen que son desechables para ayudar a evadir la detección y evitar vincular los ataques entre sí.

"El amplio conjunto de herramientas descritas en este informe están hechas a medida y probablemente sean fácilmente desechables. Como resultado, no muestran solapamientos claros de código con ningún conjunto de herramientas conocido, ni siquiera entre sí", explica Check Point.

El ataque comienza con un correo electrónico

El ataque comienza con un correo electrónico de spear-phishing diseñado para dirigirse a personas específicas en organizaciones clave, instándolas a abrir el archivo ZIP adjunto.

El archivo contiene un ejecutable firmado digitalmente con el nombre que coincide con el contexto del correo electrónico y una DLL maliciosa que explota una vulnerabilidad (CVE-2022-23748) en el software Dante Discovery de Audinate para cargar lateralmente el malware "CurKeep" en el sistema.


CurKeep es una puerta trasera de 10 kb que establece la persistencia en el dispositivo violado, envía información del sistema al servidor de comando y control (C2) y luego espera los comandos.

La puerta trasera puede filtrar una lista de directorios para los archivos de programa de la víctima, indicando qué software está instalado en la computadora, ejecutar comandos y enviar la salida al servidor C2, y manejar las tareas basadas en archivos según las instrucciones de sus operadores.

Más allá de CurKeep, la campaña utiliza otras herramientas, principalmente cargadores, ejecutados principalmente a través de métodos similares de carga lateral de DLL.

Entre los más notables se encuentran el cargador CurLu, CurCore y CurLog, cada uno con funcionalidades y mecanismos de infección únicos.

CurCore es la más interesante de las cargas útiles secundarias, ya que puede crear archivos y rellenar su contenido con datos arbitrarios, ejecutar comandos remotos o leer un archivo y devolver sus datos en forma codificada en base64.

Otra puerta trasera notable que se destaca del resto es 'StylerServ', que actúa como un oyente pasivo que monitorea el tráfico en cinco puertos (60810 a 60814) para un archivo de configuración específico cifrado XOR ('stylers.bin').


El informe no especifica la funcionalidad exacta o el propósito de StylerServ o stylers.bin, pero es probable que sea parte de un mecanismo de servicio de configuración sigiloso para otros componentes de malware.

Check Point informa que "Stayin' Alive" utiliza varias muestras y variantes de estos cargadores y cargas útiles, a menudo adaptados a objetivos regionales específicos (idioma, nombres de archivo, temas).

La compañía de seguridad dice que el clúster recién identificado es probablemente un segmento de una campaña más amplia que involucra más herramientas y métodos de ataque no descubiertos.

A juzgar por la gran variedad de herramientas distintas que se ven en los ataques y su nivel de personalización, parecen ser desechables.

A pesar de las diferencias de código en esas herramientas, todas se conectan a la misma infraestructura, que Kaspersky vinculó previamente a ToddyCat, un grupo de espías cibernéticos chinos.

Actualización 10/12 - Poco después de la publicación de este informe, Kaspersky publicó una actualización sobre su seguimiento de la APT ToddyCat, destacando los nuevos métodos de ataque y cargas útiles que sus analistas descubrieron recientemente.

Durante el año pasado, Kaspersky observó un grupo paralelo de actividad del mismo actor de amenazas, diferente al visto por Check Point, con dos variantes de ataque que emplean ejecutables VLC legítimos para cargar malware utilizando la técnica de carga lateral de DLL.

Un malware notable implementado en estos ataques es 'Ninja Agent', que cuenta con administración de archivos, shell inverso, administración de procesos y más.

Otras herramientas que ToddyCat implementó en estos ataques incluyen LoFiSe (rastreador y ladrón de archivos), Cobalt Strike (suite de pruebas de penetración), DropBox Uploader y una puerta trasera UDP pasiva.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 17.000 sitios web de WordPress se han visto comprometidos en el mes de septiembre de 2023 con un malware conocido como Balada Injector, casi el doble que en agosto.

De estos, se dice que 9.000 de los sitios web se han infiltrado utilizando un fallo de seguridad recientemente revelado en el plugin tagDiv Composer (CVE-2023-3169, puntuación CVSS: 6,1) que podría ser explotado por usuarios no autenticados para realizar ataques de secuencias de comandos entre sitios (XSS) almacenados.

"Esta no es la primera vez que la pandilla Balada Injector ha atacado vulnerabilidades en los temas premium de tagDiv", dijo el investigador de seguridad de Sucuri, Denis Sinegubko.

"Una de las primeras inyecciones masivas de malware que pudimos atribuir a esta campaña tuvo lugar durante el verano de 2017, donde se abusó activamente de los errores de seguridad revelados en los temas de WordPress de Newspaper y Newsmag".

Balada Injector es una operación a gran escala descubierta por primera vez por Doctor Web en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas susceptibles.

El objetivo principal del implante es dirigir a los usuarios de los sitios comprometidos a páginas de soporte técnico falsas, premios fraudulentos de lotería y estafas de notificaciones automáticas. Más de un millón de sitios web se han visto afectados por la campaña desde 2017.

Los ataques que involucran a Balada Injector se desarrollan en forma de olas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectadas los martes después del inicio de una ola durante el fin de semana.

El último conjunto de infracciones implica la explotación de CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adición de complementos maliciosos y la creación de administradores de blogs fraudulentos.

Históricamente, estos scripts se han dirigido a los administradores de sitios de WordPress que han iniciado sesión, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluida la creación de nuevos usuarios administradores que pueden usar para ataques de seguimiento.

La naturaleza en rápida evolución de los scripts se evidencia por su capacidad para plantar una puerta trasera en las páginas de error 404 de los sitios web que son capaces de ejecutar código PHP arbitrario o, alternativamente, aprovechar el código incrustado en las páginas para instalar un complemento malicioso wp-zexit de manera automatizada.

Sucuri lo describió como "uno de los tipos de ataques más complejos" realizados por el script, dado que imita todo el proceso de instalación de un complemento desde un archivo ZIP y su activación.

La funcionalidad principal del complemento es la misma que la puerta trasera, que consiste en ejecutar código PHP enviado de forma remota por los actores de amenazas.

Las nuevas oleadas de ataques observadas a finales de septiembre de 2023 implican el uso de inyecciones de código aleatorio para descargar y lanzar un malware de segunda etapa desde un servidor remoto para instalar el plugin wp-zexit.

También se utilizan scripts ofuscados que transmiten las cookies del visitante a una URL controlada por el actor y obtienen a cambio un código JavaScript no especificado.

"Su ubicación en los archivos de los sitios comprometidos muestra claramente que esta vez, en lugar de usar la vulnerabilidad tagDiv Composer, los atacantes aprovecharon sus puertas traseras y usuarios administradores maliciosos que habían sido plantados después de ataques exitosos contra los administradores del sitio web", explicó Sinegubko.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amazon Web Services (AWS), Cloudflare y Google dijeron el martes que tomaron medidas para mitigar los ataques de denegación de servicio distribuido (DDoS) que batieron récords y que se basaron en una técnica novedosa llamada HTTP/2 Rapid Reset.

Los ataques de capa 7 se detectaron a fines de agosto de 2023, dijeron las compañías en una divulgación coordinada. La susceptibilidad acumulada a este ataque se rastrea como CVE-2023-44487 y tiene una puntuación CVSS de 7,5 sobre un máximo de 10.

Mientras que los ataques dirigidos a la infraestructura en la nube de Google alcanzaron un máximo de 398 millones de solicitudes por segundo (RPS), los que afectaron a AWS y Cloudflare superaron un volumen de 155 millones y 201 millones de RPS, respectivamente.

HTTP/2 Rapid Reset se refiere a una falla de día cero en el protocolo HTTP/2 que puede ser explotada para llevar a cabo ataques DDoS. Una característica importante de HTTP/2 es la multiplexación de solicitudes a través de una única conexión TCP, que se manifiesta en forma de flujos simultáneos.

Además, un cliente que quiera abortar una solicitud puede emitir una trama RST_STREAM para detener el intercambio de datos. El ataque de restablecimiento rápido aprovecha este método para enviar y cancelar solicitudes en rápida sucesión, eludiendo así el máximo de flujo simultáneo del servidor y sobrecargando el servidor sin alcanzar su umbral configurado.

"Los ataques de restablecimiento rápido de HTTP/2 consisten en múltiples conexiones HTTP/2 con solicitudes y reinicios en rápida sucesión", dijeron Mark Ryland y Tom Scholl de AWS.

"Por ejemplo, se transmitirá una serie de solicitudes para múltiples flujos, seguidas de un reinicio para cada una de esas solicitudes. El sistema de destino analizará y actuará sobre cada solicitud, generando registros para una solicitud que luego es restablecida o cancelada por un cliente".

Esta capacidad de restablecer los flujos inmediatamente permite que cada conexión tenga un número indefinido de solicitudes en curso, lo que permite a un actor de amenazas emitir un aluvión de solicitudes HTTP/2 que pueden abrumar la capacidad de un sitio web objetivo para responder a nuevas solicitudes entrantes, eliminándolo de manera efectiva.


Dicho de otra manera, al iniciar cientos de miles de flujos HTTP/2 y cancelarlos rápidamente a escala a través de una conexión establecida, los actores de amenazas pueden abrumar los sitios web y dejarlos fuera de línea. Otro aspecto crucial es que estos ataques se pueden llevar a cabo utilizando una botnet de tamaño modesto, algo así como 20.000 máquinas, según lo observado por Cloudflare.

"Este día cero proporcionó a los actores de amenazas una nueva herramienta crítica en su navaja suiza de vulnerabilidades para explotar y atacar a sus víctimas en una magnitud que nunca antes se había visto", dijo Grant Bourzikas, director de seguridad de Cloudflare.

HTTP/2 es utilizado por el 35,6% de todos los sitios web, según W3Techs. El porcentaje de solicitudes que utilizan HTTP/2 es del 77%, según los datos compartidos por Web Almanac.

Google Cloud dijo que ha observado múltiples variantes de los ataques de restablecimiento rápido que, si bien no son tan efectivos como la versión inicial, son más eficientes que los ataques DDoS HTTP/2 estándar.

"La primera variante no cancela inmediatamente las transmisiones, sino que abre un lote de transmisiones a la vez, espera un tiempo y luego cancela esas transmisiones y luego abre inmediatamente otro gran lote de nuevas transmisiones", dijeron Juho Snellman y Daniele Lamartino.

"La segunda variante elimina por completo la cancelación de transmisiones y, en cambio, intenta abrir con optimismo más transmisiones simultáneas de las que anunciaba el servidor".

F5, en un aviso independiente propio, dijo que el ataque afecta al módulo NGINX HTTP/2 y ha instado a sus clientes a actualizar su configuración NGINX para limitar el número de flujos simultáneos a un valor predeterminado de 128 y persistir las conexiones HTTP para hasta 1000 solicitudes.

"Después de hoy, los actores de amenazas serán en gran medida conscientes de la vulnerabilidad HTTP/2; e inevitablemente se volverá trivial explotar y dar inicio a la carrera entre los defensores y los ataques: primero en parchear vs. primero en explotar", dijo Bourzikas. "Las organizaciones deben asumir que los sistemas serán probados y tomar medidas proactivas para garantizar la protección".

Las empresas responden al ataque de restablecimiento rápido de HTTP/2

Tras la divulgación pública de CVE-2023-44487, varias empresas han lanzado actualizaciones para contrarrestar el nuevo vector de ataque en su software:

• Alibaba Tengine
• Apache Tomcat
• F5
• Golang
• Kubernetes
• Distribuciones de Linux Debian, Red Hat y Ubuntu
• Microsoft
• Netty
• Veloz

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez más, los piratas informáticos están abusando de LinkedIn Smart Links en ataques de phishing para eludir las medidas de protección y evadir la detección en un intento de robar las credenciales de la cuenta de Microsoft.

Los Smart Links forman parte del servicio Sales Navigator de LinkedIn, que se utiliza para el marketing y el seguimiento, lo que permite a las cuentas de empresa enviar contenido por correo electrónico utilizando enlaces rastreables para determinar quién interactuó con él.

Además, debido a que Smart Link utiliza el dominio de LinkedIn seguido de un parámetro de código de ocho caracteres, parecen originarse en una fuente confiable y eluden las protecciones del correo electrónico.

El abuso de la función Smart Link de LinkedIn no es nuevo, ya que la empresa de ciberseguridad Cofense descubrió la técnica en una campaña de finales de 2022 dirigida a usuarios eslovacos con señuelos falsos del servicio postal.

La nueva campaña se orienta a las cuentas de Microsoft

La compañía de seguridad del correo electrónico informa hoy que identificó un aumento en el abuso de LinkedIn Smart Link recientemente, con más de 800 correos electrónicos de varios temas que conducen a una amplia gama de objetivos a páginas de phishing.

Según Cofense, los ataques recientes ocurrieron entre julio y agosto de 2023, utilizando 80 Smart Links únicos, y se originaron en cuentas comerciales de LinkedIn recién creadas o comprometidas.

Los datos de Cofense muestran que los sectores más atacados de esta última campaña son las finanzas, la manufactura, la energía, la construcción y la salud.


"A pesar de que Finanzas y Manufactura tienen mayores volúmenes, se puede concluir que esta campaña no fue un ataque directo a ningún negocio o sector en particular, sino un ataque general para recopilar tantas credenciales como sea posible utilizando cuentas comerciales de LinkedIn y Smart Links para llevar a cabo el ataque", explica Cofense.

Los correos electrónicos enviados a los destinatarios utilizan asuntos relacionados con pagos, recursos humanos, documentos, notificaciones de seguridad y otros, y el enlace/botón incrustado desencadena una serie de redireccionamientos desde un enlace inteligente de LinkedIn "confiable".


Para agregar legitimidad al proceso de suplantación de identidad (phishing) y crear una falsa sensación de autenticidad en la página de inicio de sesión de Microsoft, el enlace inteligente enviado a las víctimas se ajusta para contener la dirección de correo electrónico del objetivo.


La página de phishing leerá la dirección de correo electrónico del enlace en el que hizo clic la víctima y la completará automáticamente en el formulario, solo esperando que la víctima complete la contraseña, al igual que sucede en el portal de inicio de sesión legítimo.


La página de phishing se asemeja a un portal de inicio de sesión estándar de Microsoft en lugar de un diseño personalizado y específico de la empresa.

Si bien esto amplía su rango objetivo, puede disuadir a las personas familiarizadas con los portales únicos de su empleador.

Se debe educar a los usuarios para que no confíen únicamente en las herramientas de seguridad del correo electrónico para bloquear las amenazas, ya que los actores de phishing adoptan cada vez más tácticas que abusan de los servicios legítimos para eludir estas protecciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft Defender para punto de conexión ahora usa la interrupción automática de ataques para aislar las cuentas de usuario en peligro y bloquear el movimiento lateral en ataques de manos en el teclado con la ayuda de una nueva funcionalidad de "contener usuario" en versión preliminar pública.

En tales incidentes, como los que involucran ransomware operado por humanos, los actores de amenazas se infiltran en las redes, se mueven lateralmente después de escalar privilegios a través de cuentas robadas y despliegan cargas útiles maliciosas.

Según Microsoft, Defender for Endpoint ahora evita los intentos de movimiento lateral de los atacantes dentro de la infraestructura de TI local o en la nube de las víctimas al aislar temporalmente las cuentas de usuario comprometidas (también conocidas como identidades sospechosas) que podrían explotar para lograr sus objetivos.

"La interrupción de ataques logra este resultado al contener a los usuarios comprometidos en todos los dispositivos para superar a los atacantes antes de que tengan la oportunidad de actuar maliciosamente, como usar cuentas para moverse lateralmente, realizar robo de credenciales, exfiltración de datos y cifrado de forma remota", dijo Rob Lefferts, vicepresidente corporativo de Microsoft 365 Security.

"Esta capacidad predeterminada identificará si el usuario comprometido tiene alguna actividad asociada con cualquier otro punto final y cortará inmediatamente todas las comunicaciones entrantes y salientes, conteniéndolas esencialmente".

Según Microsoft, cuando se detectan las etapas iniciales de un ataque operado por humanos en un punto de conexión mediante señales de varias cargas de trabajo de Microsoft 365 Defender (incluidas identidades, puntos de conexión, correo electrónico y aplicaciones SaaS), la característica de interrupción de ataque automatizada bloqueará el ataque en ese dispositivo.


Al mismo tiempo, Defender para punto de conexión también "inoculará" todos los demás dispositivos de la organización bloqueando el tráfico malintencionado entrante, dejando a los atacantes sin más objetivos.

"Cuando se contiene una identidad, cualquier dispositivo incorporado de Microsoft Defender para punto de conexión compatible bloqueará el tráfico entrante en protocolos específicos relacionados con ataques (inicios de sesión de red, RPC, SMB, RDP) al tiempo que habilita el tráfico legítimo", explica Redmond en un documento de soporte.

"Esta acción puede ayudar significativamente a reducir el impacto de un ataque. Cuando se contiene una identidad, los analistas de operaciones de seguridad tienen tiempo adicional para localizar, identificar y remediar la amenaza a la identidad comprometida".

Microsoft agregó la interrupción automática de ataques a su solución Microsoft 365 Defender XDR (Extended Detection and Response) en noviembre de 2022 durante su conferencia anual Microsoft Ignite para desarrolladores y profesionales de TI.

La capacidad ayuda a contener los ataques en curso y a aislar automáticamente los activos afectados al limitar el movimiento lateral a través de las redes comprometidas.

"Desde agosto de 2023, más de 6.500 dispositivos se han librado del cifrado de las campañas de ransomware ejecutadas por grupos de hackers como BlackByte y Akira, e incluso equipos rojos a sueldo", según los datos internos de Microsoft.

Defender para punto de conexión también es capaz de aislar dispositivos Windows pirateados y no administrados desde junio de 2022, lo que impide que los actores malintencionados se muevan lateralmente a través de las redes de las víctimas al bloquear toda la comunicación hacia y desde los dispositivos comprometidos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Después de varios meses de desarrollo, Google dio a conocer el lanzamiento de la versión estable de la nueva versión de su plataforma móvil «Android 14» en la cual se presentan una gran cantidad de innovaciones, mejoras y mucho más.

Una de las novedades que se destaca de Android 14 son las mejoras de rendimiento y la eficiencia de la plataforma, ya que sé continuo mejorando el rendimiento de la plataforma en tablets y dispositivos con pantallas plegables, pues ahora se proporcionan bibliotecas para predecir eventos asociados con el movimiento del puntero y proporcionar baja latencia cuando se trabaja con lápices ópticos.

Tambien se destaca que se actualizaron las pautas para desarrollar aplicaciones para dispositivos de pantalla grande, pues se añadieron patrones de interfaz de usuario genéricos para pantallas grandes para abordar usos como redes sociales, comunicaciones, contenido multimedia, lectura y compras. Se ha propuesto una versión preliminar del SDK con herramientas para desarrollar aplicaciones que funcionan correctamente con diferentes tipos de dispositivos (teléfonos inteligentes, tabletas, televisores inteligentes, etc.) y diferentes factores de forma.

En Android 14, el sistema de administración de memoria se ha optimizado para asignar recursos de manera más eficiente a las aplicaciones que se ejecutan en segundo plano. Unos segundos después de que la aplicación se coloca en estado de caché, el trabajo en segundo plano se limita a las API que administran el ciclo de vida de la aplicación, como la API de Foreground Services, JobScheduler y WorkManager.

Las notificaciones marcadas con «FLAG_ONGOING_EVENT» ahora se pueden rechazar cuando se muestran en un dispositivo desbloqueado, en otras palabras si el dispositivo está en modo de pantalla de bloqueo, estas notificaciones no se descartarán. Las notificaciones que son importantes para el funcionamiento del sistema tampoco se descartarán.


Otro de los aspectos destacados de esta nueva versión de la plataforma es el «Almacenamiento de Health Connect», que proporciona almacenamiento centralizado de datos de pulseras de fitness y otros dispositivos relacionados con la salud del usuario, y organiza el acceso conjunto a los datos de salud entre diferentes aplicaciones. El acceso a la configuración de Health Connect ahora se proporcionará a través del configurador de plataforma estándar. Además, Health Connect ha agregado soporte para guardar información sobre la ruta realizada durante el entrenamiento. La ruta se puede visualizar en el mapa y, si se desea, transferir a otras aplicaciones para su procesamiento.

Ademas de ello, también se destaca que se han ampliado las posibilidades de personalizar la apariencia de la interfaz, pues se ha simplificado la interfaz para seleccionar imágenes de fondo, se ha agregado un nuevo conjunto de plantillas de diseño de pantalla de bloqueo, que ofrecen diferentes fuentes, widgets y colores, y admiten el uso de IA para adaptar el diseño a la situación actual.

Se han ampliado los medios para confirmar el acceso a la información de ubicación, pues se agregó una nueva sección al cuadro de diálogo que solicita confirmación de acceso a la ubicación con información sobre cuándo se transfieren los datos de ubicación a la aplicación y detalles sobre dónde puede obtener información adicional sobre el acceso a los datos transferidos.

Tambien se destaca que se implementó la visualización periódica (una vez al mes) de notificaciones que advierten sobre cambios realizados por aplicaciones a las que se les otorga acceso a la ubicación, métodos de transferencia de datos a terceros (por ejemplo, se muestra cuando una aplicación comienza a utilizar datos de ubicación al mostrar publicidad).

Se han ampliado las capacidades de escala de fuentes, el nivel máximo de escala de fuentes se ha aumentado del 130 % al 200 % y, para garantizar que el texto con un gran aumento no parezca demasiado grande, ahora se aplica automáticamente un cambio no lineal en el nivel de escala, lo que permitirá una legibilidad óptima del texto para personas con baja visión sin riesgo de distorsiones en el diseño de la interfaz.

Por otra parte, también se destaca el soporte para grabar vídeo HDR y con el cual se ha ampliado con la posibilidad de obtener información adicional de la cámara, permitiendo guardar imágenes en el formato "Ultra HDR", que utiliza 10 bits por canal para codificación de colores.

De los demás cambios que se destacan:

• Se agregaron botones al bloque desplegable de configuración rápida para cambiar rápidamente los tamaños de fuente y acceder a la configuración de Google Home.
• Se agregó una configuración para permitir que el flash LED de la cámara parpadee cuando llegan nuevas notificaciones o junto con sonidos de advertencia.
• Para los auriculares con cable conectados mediante USB, se ha agregado la posibilidad de utilizar formatos de sonido sin pérdida de calidad (lossless).
• Se han ampliado las posibilidades de vincular configuraciones de idioma individuales a diferentes aplicaciones.
• Se agregó un permiso separado para permitir que las aplicaciones ejecuten acciones mientras la aplicación está en segundo plano.
• Se proporcionan plantillas de interfaz para pantallas grandes para adaptarse a usos tales como redes sociales, comunicaciones, contenido multimedia, lectura y compras.

¿Como obtener Android 14?

Para los interesados en poder probar ya la versión estable de Android 14, deben saber que ya están en preparación las actualizaciones para los dispositivos de la serie Pixel. Posteriormente, está previsto preparar actualizaciones de firmware para las diferentes marcas de smartphones.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

a mediados de julio se publicó Linux Mint 21.2, segundo lanzamiento basado en la más reciente versión LTS de Ubuntu, le ha llegado el turno a LMDE 6, que a grades rasgos es lo mismo, pero con base en Debian 12. Aquí tienes, pues, la nueva versión de Linux Mint Debian Edition.

Como recuerdan en el anuncio oficial, LMDE tiene como «objetivo garantizar que Linux Mint pueda continuar brindando la misma experiencia de usuario, así como determinar cuánto trabajo supondría hacerlo si Ubuntu desapareciera». Y aunque no parece probable que tal cosa vaya a suceder en el corto, medio e incluso largo plazo, introduciendo en la ecuación la apuesta de Canonical por su propio formato de paquetes, Snap, y el rechazo de Linux Mint al mismo, quién sabe lo que puede llegar a pasar antes de tiempo.

Sea como fuere LMDE es, para tu interés, una Linux Mint basada en Debian cuya diferencia más notable con respecto a la edición principal, dejando a un lado la propia base del sistema, es que no recibe actualizaciones intermedias del medio de instalación, por lo que hasta que aparezca la próxima LMDE 7 basada en Debian 13, todo lo que tendrás que hacer es aplicar las actualizaciones que lleguen por la vía ordinaria. ¿Te interesa la propuesta? Porque LMDE está recién salida del horno.

Por lo demás, poca o ninguna novedad reseñable. Con nombre en clave 'Faye', LMDE 6 está basada en Debian 12 Bookwork y, en consecuencia, se apoya en los componentes base de este, incluyendo el kernel Linux 6.1 LTS, systemd 252, Mesa 22.3 y un largo etcétera, aderezado por algunos añadidos propios. Esto a nivel de sistema base, cabe repetir. De la gestión del software al entorno de escritorio es todo cien por cien Linux Mint, al estilo de sus versiones más recientes.

Así, lo que vas a usar en LMDE 6 casi lo mismo que está usando cualquier otro usuario en Linux Mint 21.2, a destacar el escritorio Cinnamon 5.8 y soporte de Flatpak (y Flathub) integrado en el gestor de software y actualizaciones propio de la distribución, lo cual le otorga a distribuciones de software añejo, como Debian, una vidilla que hace años era impensable encontrar.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Seis meses después de la presentación oficial, FSR 3 ha empezado a llegar a algunos juegos y AMD ha anunciado la próxima publicación del código fuente bajo la licencia MIT. De esta manera la compañía mantiene la línea que ha seguido con su tecnología de reescalado, la cual siempre ha empezado a distribuirse como software privativo y orientado a Windows para luego abrirse y llegar a otros sistemas y soluciones como emuladores.

En comparación con versiones anteriores de la tecnología, FSR 3 sobresale por la generación de imágenes, con la que es posible generar fotogramas totalmente nuevos mientras y presentarlos al usuario a la vez que se mejora la tasa de fotogramas por segundo. La propia AMD explica que esto se logra con la incorporación de dos tecnologías: la interpolación de cuadros y el flujo óptico mejorado a partir de AMD Fluid Motion Frames.

En comparación con el DLSS, la tecnología de reescalado de NVIDIA, FSR destaca por su soporte multilpataforma, por lo que capaz de funcionar tanto en gráficas Radeon como GeForce. Si se quiere disfrutar de FSR 3 en su plenitud, con Fluid Motion, el suelo para Windows está establecido en la RX 5700 y la serie GeForce RTX 20 (Turing), pero lo recomendado es partir de las series Radeon RX 6000 o GeForce RTX 30 (Ampere).

La última versión de la tecnología de reescalado de AMD también puede ser usada de manera castrada, sin Fluid Motion, y aquí lo mínimo para Windows es una Radeon RX 590 o una NVIDIA GeForce GTX 10 (Pascal) y lo recomendado es la serie RX 5000 o la GeForce RTX 20. De integradas no se ha mencionado nada, pero nos suponemos que cualquiera que esté basada en las arquitecturas RDNA 2 y RNDA 3 debería de poder soportar FSR 3.


Los primeros juegos en integrar FSR 3 son Forspoken e Immortals of Aveum, pero esto es MuyLinux, así que lo importante aquí es la publicación del código fuente. Aquí el gigante rojo ha dicho textualmente que "AMD FidelityFX Super Resolution 3.0, al igual que las versiones anteriores de AMD FSR, estará disponible pronto en GPUOpen con una licencia MIT de código abierto permisiva. Si está interesado en evaluar AMD FSR 3 para el título de su juego, comuníquese con su representante de AMD para solicitar acceso anticipado".

En resumidas cuentas, AMD va a repetir la misma jugada que ha hecho en anteriores ocasiones, aunque esperemos que esta ocasión no se demore demasiado. Cuando el código fuente de la tercera versión sea publicado, FSR mantendrá su posición como la tecnología de reescalado más abierta de entre las que tienen repercusión, más viendo que el XeSS de Intel no ha cumplido en estos términos las expectativas que había generado. Sobre DLSS, la forma de proceder de NVIDIA es bien conocida y como alternativa ha publicado una tecnología de reescalado espacial multiplataforma y de código abierto similar a las primeras versiones de FSR, pero que no parece haber atraído a muchos usuarios ni desarrolladoras.

En resumidas cuentas, la publicación de FSR 3 como código abierto está en camino. En el frente de Linux lo interesante será ver qué puede aportar en Proton, la Steam Deck con sus futuras iteraciones y los emuladores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login