Mensajes recientes

#21
Hacking / Introduccion a la cibersegurid...
Último mensaje por ze0rX - Febrero 21, 2024, 02:21:19 PM
:)  :)  Hola Underc0der's, he estado desactualizado por 2 años en temas de seguridad informática y este apasionante mundo y quiero compartirles una ruta hecha por cisco academy que me parece una alternativa para aprender si no sabes por donde empezar en la seguridad o el hacking por la masiva información de que es un hacker, que hace un hacker, como sé que soy un hacker, que tengo que hacer para ser un hacker, cuanto gana un hacker, cuantos tipos de hacker's hay, etc., etc. quiero decirte que debemos digerir poco a poco esta información, ya que requiere mucho leer y mucho practicar para comprender y entender mejor como funciona un ataque, cuáles son las superficies de ataque, como implementar y detectar un ataque y después como parchear mediante código o herramientas especializadas para eso.

Bueno, primero deben tener un correo electrónico válido y de preferencia pongan su nombre completo para que las insignias que vayan ganando puedan compartirlas en redes como LinkedIn y sumar valor a su cv aunque precisamente no trabajen en este momento de esto, puede ser para adquirir nuevos conocimientos, pero esa es la finalidad, ¿de acuerdo?, o igual por si lo quieres tomar por puro periodo vacacional que excelente decisión...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este tiene una duración de 6 horas en las que introduce conceptos que se usan comúnmente en el mundo de la ciberseguridad.

Después de que hayan terminado y quieran continuar con su aprendizaje, les recomiendo tomar 3 cursos que son gratuitos:

1- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
2- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
3- No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto es importante de saber para los laboratorios que seguirán en el curso intermedio de hacking ético

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Todos los cursos generan insignias y esto suma a nuestros conocimientos para poder en el futuro, en caso de que así lo decidan, laborar en la industria, hacer una certificación como CCNA  o divertirse...

El total de horas para los cursos que les dejo en este post son de 128 horas a su propio ritmo.


Espero que sea de útil esta información y recuerden que el hacking no es un crimen, es un arte.
Hail Underc0de!
#22
Noticias Informáticas / El malware Migo deshabilita la...
Último mensaje por Dragora - Febrero 21, 2024, 01:26:10 PM

Los investigadores de seguridad descubrieron una nueva campaña que se dirige a los servidores Redis en hosts Linux utilizando una pieza de malware llamada 'Migo' para minar criptomonedas.

Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y agente de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en sectores como los juegos, la tecnología, los servicios financieros y la sanidad.

Los piratas informáticos siempre están buscando servidores Redis expuestos y potencialmente vulnerables para secuestrar recursos, robar datos y otros fines maliciosos.

Lo interesante de la nueva cepa de malware es el uso de comandos que debilitan el sistema y desactivan las funciones de seguridad de Redis, lo que permite que las actividades de cryptojacking continúen durante períodos prolongados.

La campaña de Migo fue detectada por los analistas del proveedor forense en la nube Cado Security, quienes observaron en sus honeypots que los atacantes usaban comandos CLI para desactivar las configuraciones de protección y explotar el servidor.

Desactivar los escudos de Redis

Al poner en peligro los servidores Redis expuestos, los atacantes desactivan las funciones de seguridad críticas para permitir la recepción de comandos posteriores y hacer que las réplicas se puedan escribir.

Cado dice que notaron que los atacantes deshabilitaron las siguientes opciones de configuración a través de la CLI de Redis.

set protected-mode: deshabilitar esto permite el acceso externo al servidor de Redis, lo que facilita que un atacante ejecute comandos maliciosos de forma remota.

replica-read-only: desactivar esta opción permite a los atacantes escribir directamente en las réplicas y propagar cargas maliciosas o modificaciones de datos en una configuración de Redis distribuida.

aof-rewrite-incremental-fsync: deshabilitarlo puede provocar una carga de E/S más pesada durante las reescrituras de archivos de solo anexión (AOF), lo que podría ayudar a los atacantes a pasar desapercibidos por las herramientas de detección que distraen con patrones de E/S inusuales.

rdb-save-incremental-fsync: desactivarlo puede provocar una degradación del rendimiento durante el guardado de instantáneas de RDB, lo que podría permitir a los atacantes provocar una denegación de servicio (DoS) o manipular el comportamiento de persistencia en su beneficio.


Ejecución de comandos observada (Cado)

A continuación, los atacantes configuran un trabajo cron que descarga un script de Pastebin, que recupera la carga útil principal de Migo (/tmp/.migo) de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta para ejecutarla como una tarea en segundo plano.

Se trata de un binario ELD empaquetado en UPX compilado en Go, con ofuscación en tiempo de compilación para dificultar el análisis.

Cado dice que la función principal de Migo es obtener, instalar y lanzar un minero XMRig (Monero) modificado en el punto final comprometido directamente desde la CDN de GitHub.

El malware establece la persistencia para el minero mediante la creación de un servicio systemd y el temporizador asociado, asegurando que se ejecute continuamente, minando criptomonedas en la cuenta del atacante.


Secuencia de llamadas al sistema Linux de Migo (Cado)

Cado informa que Migo emplea un rootkit en modo de usuario para ocultar sus procesos y archivos, lo que complica la detección y eliminación.

El malware modifica '/etc/ld.so.preload' para interceptar y alterar el comportamiento de las herramientas del sistema que enumeran procesos y archivos, ocultando efectivamente su presencia.

El ataque concluye con Migo configurando reglas de firewall para bloquear el tráfico saliente a ciertas IP y ejecutando comandos para deshabilitar SELinux, buscar y potencialmente deshabilitar agentes de monitoreo de proveedores de nube y eliminar mineros o cargas útiles de la competencia.

También manipula /etc/hosts para evitar la comunicación con los proveedores de servicios en la nube, ocultando aún más su actividad.

La cadena de ataque de Migo muestra que el actor de amenazas detrás de ella tiene un sólido conocimiento del entorno y las operaciones de Redis.

Aunque la amenaza de cryptojacking no es demasiado grave porque no provoca interrupciones ni corrupción de datos, el actor de amenazas podría utilizar el acceso para entregar cargas útiles más peligrosas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#23
Noticias Informáticas / VoltSchemer puede ser utilizad...
Último mensaje por Dragora - Febrero 21, 2024, 01:02:39 PM

Un equipo de investigadores académicos muestra que un nuevo conjunto de ataques llamado 'VoltSchemer' puede inyectar comandos de voz para manipular el asistente de voz de un teléfono inteligente a través del campo magnético emitido por un cargador inalámbrico estándar.

VoltSchemer también se puede usar para causar daños físicos al dispositivo móvil y para calentar artículos cerca del cargador a una temperatura superior a 536 °F (280 °C).

Un documento técnico firmado por investigadores de la Universidad de Florida y CertiK describe a VoltSchemer como un ataque que aprovecha la interferencia electromagnética para manipular el comportamiento del cargador.

Para demostrar el ataque, los investigadores llevaron a cabo pruebas en nueve de los cargadores inalámbricos más vendidos disponibles en todo el mundo, destacando las brechas en la seguridad de estos productos.


Productos probados (arxiv.org)

¿Qué hace posible estos ataques?

Los sistemas de carga inalámbrica suelen utilizar campos electromagnéticos para transferir energía entre dos objetos, basándose en el principio de la inducción electromagnética.

La estación de carga contiene una bobina transmisora, por donde fluye la corriente alterna para crear un campo magnético oscilante, y el teléfono inteligente contiene una bobina receptora que captura la energía del campo magnético y la convierte en energía eléctrica para cargar la batería.


Descripción general de los sistemas de carga inalámbrica (arxiv.org)

Los atacantes pueden manipular el voltaje suministrado en la entrada de un cargador y ajustar con precisión las fluctuaciones de voltaje (ruido) para crear una señal de interferencia que puede alterar las características de los campos magnéticos generados.

La manipulación del voltaje puede ser introducida por un dispositivo de interposición, sin necesidad de modificación física de la estación de carga o infección de software del dispositivo del teléfono inteligente.

Los investigadores dicen que esta señal de ruido puede interferir con el intercambio regular de datos entre la estación de carga y el teléfono inteligente, que utilizan microcontroladores que administran el proceso de carga, para distorsionar la señal de energía y corromper los datos transmitidos con alta precisión.

En esencia, VoltSchemer se aprovecha de las fallas de seguridad en el diseño de hardware de los sistemas de carga inalámbrica y los protocolos que rigen su comunicación.

Esto abre el camino a al menos tres vectores de ataque potenciales para los ataques de VoltSchemer, incluido el sobrecalentamiento/sobrecarga, la elusión de los estándares de seguridad de Qi y la inyección de comandos de voz en el teléfono inteligente que se carga.

Descripción general del ataque VoltSchemer (arxiv.org)

Engañar a los asistentes de voz y freír los teléfonos

Los teléfonos inteligentes están diseñados para dejar de cargarse una vez que la batería está llena para evitar la sobrecarga, que se comunica con la estación de carga para reducir o cortar el suministro de energía.

La señal de ruido introducida por VoltSchemer puede interferir con esta comunicación, manteniendo la entrega de energía al máximo y haciendo que el teléfono inteligente en la plataforma de carga se sobrecargue y se sobrecaliente, lo que introduce un peligro significativo para la seguridad.


ango de manipulación en los cargadores probados (arxiv.org)

Los investigadores describen sus experimentos con un dispositivo Samsung Galaxy S8 de la siguiente manera:

Al inyectar paquetes CE para aumentar la potencia, la temperatura aumentó rápidamente. Poco después, el teléfono intentó detener la transferencia de energía transmitiendo paquetes EPT debido al sobrecalentamiento, pero la interferencia de voltaje introducida por nuestro manipulador de voltaje corrompió estos, haciendo que el cargador no respondiera.

Engañado por paquetes falsos CE y RP, el cargador siguió transfiriendo energía, elevando aún más la temperatura. El teléfono activó aún más medidas de protección: cerró aplicaciones y limitó la interacción del usuario a 126 F◦ e inició el apagado de emergencia a 170 F (76,7 C). Aún así, la transferencia de energía continuó, manteniendo una temperatura peligrosamente alta, estabilizándose en 178 °F (81 °C).


Escaneo de la cámara térmica del dispositivo
probado (arxiv.org)

El segundo tipo de ataque VoltSchemer puede eludir los mecanismos de seguridad estándar de Qi para iniciar la transferencia de energía a elementos cercanos no compatibles. Algunos ejemplos podrían incluir llaveros de automóvil, memorias USB, chips RFID o NFC utilizados en tarjetas de pago y control de acceso, unidades SSD en computadoras portátiles y otros artículos muy cerca de la plataforma de carga.


Posibilidad de utilizar cargadores para la destrucción de objetos extraños (arxiv.org)

Al experimentar con clips que sostenían documentos, los investigadores lograron calentarlos a 536 °F (280 °C), que es más que suficiente para prender fuego a los papeles.

Los artículos electrónicos no están diseñados para soportar este nivel de calor y podrían dañarse en un ataque de este tipo con VoltSchemer.


Escaneos térmicos de artículos extraños sobrecalentados (arxiv.org)

En el caso de un llavero de coche, el ataque provocó que la batería explotara y destruyera el dispositivo. Con las unidades de almacenamiento USB, la transferencia de voltaje provocaba la pérdida de datos, al igual que en el caso de las unidades SSD.

Un tercer tipo de ataque que los investigadores probaron fue entregar comandos de voz inaudibles a los asistentes en iOS (Siri) y Android (Google Assistant).

Los investigadores han demostrado que es posible inyectar una serie de comandos de voz a través de señales de ruido transmitidas a través del alcance de la estación de carga, logrando el inicio de llamadas, navegando por un sitio web o lanzando una aplicación.

Sin embargo, este ataque viene con limitaciones que podrían hacerlo poco práctico en un escenario de la vida real. Un atacante primero tendría que grabar los comandos de activación del objetivo y luego agregar señales de voz de salida al adaptador de corriente. que tienen la información más importante en una banda de frecuencia por debajo de 10kHz.

"[...] cuando se agrega una señal de voz al voltaje de salida del adaptador de corriente, puede modular la señal de potencia en la bobina TX con atenuación y distorsiones limitadas", explican los investigadores, y agregan que un estudio reciente mostró que a través de acoplamientos magnéticos, "un campo magnético modulado por AM puede causar sonido inducido por el magnetismo (MIS) en los circuitos de micrófono de los teléfonos inteligentes modernos".

Los dispositivos de interposición que introducen las fluctuaciones maliciosas de voltaje pueden ser cualquier cosa disfrazada como un accesorio legítimo, distribuido a través de varios medios, como obsequios promocionales, ventas de segunda mano o como reemplazos de productos supuestamente retirados del mercado.


Puntos de manipulación de tensión de potencial (arxiv.org)

Si bien la entrega de un voltaje más alto al dispositivo móvil en la plataforma de carga o a los elementos cercanos mediante un cargador inalámbrico es un escenario factible, la manipulación de los asistentes telefónicos con VoltSchemer establece una barrera más alta en términos de las habilidades y la motivación del atacante.

Estos descubrimientos ponen de relieve las brechas de seguridad en las estaciones de carga y los estándares modernos, y exigen mejores diseños que sean más resistentes a las interferencias electromagnéticas.

Los investigadores revelaron sus hallazgos a los proveedores de las estaciones de carga probadas y discutieron contramedidas que podrían eliminar el riesgo de un ataque de VoltSchemer.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#24
Noticias Informáticas / Mustang Panda apunta a Asia co...
Último mensaje por Dragora - Febrero 21, 2024, 12:33:13 PM

El actor de amenazas vinculado a China conocido como Mustang Panda se ha dirigido a varios países asiáticos utilizando una variante de la puerta trasera PlugX (también conocida como Korplug) denominada DOPLUGS.

"La pieza de malware PlugX personalizada es diferente al tipo general de malware PlugX que contiene un módulo de comando de puerta trasera completo, y que el primero solo se usa para descargar el segundo", dijeron los investigadores de Trend Micro Sunny Lu y Pierre Lee en un nuevo artículo técnico.

Los objetivos de los DOPLUGS se han localizado principalmente en Taiwán y Vietnam, y en menor medida en Hong Kong, India, Japón, Malasia, Mongolia e incluso China.

PlugX es una herramienta básica de Mustang Panda, que también se rastrea como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TA416 y TEMP. Maleficio. Se sabe que está activo desde al menos 2012, aunque salió a la luz por primera vez en 2017.

El oficio del actor de amenazas consiste en llevar a cabo campañas de spear-phishing bien forjadas que están diseñadas para implementar malware personalizado. También tiene un historial de implementación de sus propias variantes personalizadas de PlugX como RedDelta, Thor, Hodur y DOPLUGS (distribuidas a través de una campaña llamada SmugX) desde 2018.

Las cadenas de compromiso aprovechan un conjunto de tácticas distintas, utilizando mensajes de phishing como conducto para entregar una carga útil de primera etapa que, mientras muestra un documento señuelo al destinatario, desempaqueta de forma encubierta un ejecutable legítimo y firmado que es vulnerable a la carga lateral de DLL para cargar lateralmente una biblioteca de vínculos dinámicos (DLL), que, a su vez, descifra y ejecuta PlugX.

Posteriormente, el malware PlugX recupera el troyano de acceso remoto (RAT) Poison Ivy o Cobalt Strike Beacon para establecer una conexión con un servidor controlado por Mustang Panda.

En diciembre de 2023, Lab52 descubrió una campaña de Mustang Panda dirigida a entidades políticas, diplomáticas y gubernamentales taiwanesas con DOPLUGS, pero con una diferencia notable.

"La DLL maliciosa está escrita en el lenguaje de programación Nim", dijo Lab52. "Esta nueva variante utiliza su propia implementación del algoritmo RC4 para descifrar PlugX, a diferencia de las versiones anteriores que utilizan la biblioteca Cryptsp.dll de Windows".

DOPLUGS, documentado por primera vez por Secureworks en septiembre de 2022, es un descargador con cuatro comandos de puerta trasera, uno de los cuales está orquestado para descargar el tipo general del malware PlugX.

Trend Micro dijo que también identificó muestras de DOPLUGS integradas con un módulo conocido como KillSomeOne, un complemento que es responsable de la distribución de malware, la recopilación de información y el robo de documentos a través de unidades USB.

Esta variante viene equipada con un componente de inicio adicional que ejecuta el ejecutable legítimo para realizar la carga lateral de DLL, además de admitir la funcionalidad para ejecutar comandos y descargar el malware de la siguiente etapa desde un servidor controlado por actores.

Vale la pena señalar que una variante personalizada de PlugX, incluido el módulo KillSomeOne diseñado para propagarse a través de USB, fue descubierta ya en enero de 2020 por Avira como parte de los ataques dirigidos contra Hong Kong y Vietnam.

"Esto demuestra que Earth Preta ha estado refinando sus herramientas desde hace algún tiempo, agregando constantemente nuevas funcionalidades y características", dijeron los investigadores. "El grupo sigue siendo muy activo, sobre todo en Europa y Asia".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#25
Noticias Informáticas / Nuevo ladrón de 'VietCredCare'...
Último mensaje por Dragora - Febrero 21, 2024, 12:23:23 PM

Los anunciantes de Facebook en Vietnam son el objetivo de un ladrón de información previamente desconocido denominado VietCredCare al menos desde agosto de 2022.

El malware es "notable por su capacidad para filtrar automáticamente las cookies de sesión de Facebook y las credenciales robadas de dispositivos comprometidos, y evaluar si estas cuentas administran perfiles comerciales y si mantienen un saldo positivo de crédito publicitario de Meta", dijo Group-IB, con sede en Singapur, en un nuevo informe compartido con The Hacker News.

El objetivo final del esquema de distribución de malware a gran escala es facilitar la toma de control de las cuentas corporativas de Facebook al dirigirse a las personas vietnamitas que administran los perfiles de Facebook de empresas y organizaciones destacadas.

Las cuentas de Facebook que han sido incautadas con éxito son utilizadas por los actores de amenazas detrás de la operación para publicar contenido político o para propagar phishing y estafas de afiliados para obtener ganancias financieras.

VietCredCare se ofrece a otros aspirantes a ciberdelincuentes bajo el modelo de ladrón como servicio y se anuncia en Facebook, YouTube y Telegram. Se considera que está gestionado por personas de habla vietnamita.

Los clientes tienen la opción de comprar acceso a una botnet administrada por los desarrolladores del malware o obtener acceso al código fuente para su reventa o uso personal. También se les proporciona un bot de Telegram a medida para gestionar la exfiltración y la entrega de credenciales desde un dispositivo infectado.

El. El malware basado en NET se distribuye a través de enlaces a sitios falsos en publicaciones de redes sociales y plataformas de mensajería instantánea, haciéndose pasar por software legítimo como Microsoft Office o Acrobat Reader para engañar a los visitantes para que los instalen.


Uno de sus principales puntos de venta es su capacidad para extraer credenciales, cookies e ID de sesión de navegadores web como Google Chrome, Microsoft Edge y Cốc Cốc, lo que indica su enfoque vietnamita.

También puede recuperar la dirección IP de una víctima, verificar si Facebook es un perfil comercial y evaluar si la cuenta en cuestión está administrando actualmente algún anuncio, al mismo tiempo que toma medidas para evadir la detección deshabilitando la interfaz de escaneo antimalware de Windows (AMSI) y agregándose a la lista de exclusión de Windows Defender Antivirus.

"La funcionalidad principal de VietCredCare para filtrar las credenciales de Facebook pone a las organizaciones tanto en el sector público como en el privado en riesgo de daños financieros y de reputación si sus cuentas confidenciales se ven comprometidas", dijo Vesta Matveeva, jefa del Departamento de Investigación de Delitos de Alta Tecnología de APAC.

Las credenciales pertenecientes a varias agencias gubernamentales, universidades, plataformas de comercio electrónico, bancos y empresas vietnamitas han sido desviadas a través del malware ladrón.

VietCredCare es también la última incorporación a una larga lista de malware ladrón, como Ducktail y NodeStealer, que se ha originado en el ecosistema cibercriminal vietnamita con la intención de atacar cuentas de Facebook.

Dicho esto, Group-IB le dijo a The Hacker News que no hay evidencia en esta etapa que sugiera conexiones entre VietCredCare y las otras cepas.

"Con Ducktail, las funciones son diferentes, y aunque hay algunas similitudes con NodeStealer, observamos que este último usa un servidor [de comando y control] en lugar de Telegram, además de que su elección de víctimas es diferente", dijo la compañía.

"El modelo de negocio de ladrón como servicio permite a los actores de amenazas con poca o ninguna habilidad técnica entrar en el campo de la ciberdelincuencia, lo que da lugar a que más víctimas inocentes sufran daños".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#26
Dudas y pedidos generales / Re:Quiero ser QA, cómo comenza...
Último mensaje por Rockyyg7 - Febrero 21, 2024, 09:47:51 AM
yo tmb quiero saber lo del próximo curso de qarmy y que se necesita para participar.
#27
Noticias Informáticas / Desmantelan el grupo LockBit
Último mensaje por blackdrake - Febrero 21, 2024, 07:07:18 AM

Desde ayer, las fuerzas policiales de diez países han tomado el control de la página web asociada al grupo de ransomware LockBit, como parte de una operación internacional que ha desmantelado parte de su infraestructura.

Conocida como Operación Cronos, esta acción también ha asegurado la plataforma de LockBit y la información que contenía, incluyendo el panel de afiliados, el código fuente de LockBit, las conversaciones y los datos de las víctimas, según informes de Bleeping Computer.

El Operativo Cronos ha revelado dos descubrimientos significativos. En primer lugar, se ha evidenciado que LockBit no siempre eliminaba los datos de las víctimas que pagaban el rescate, una situación particularmente preocupante para las empresas afectadas. En segundo lugar, se han obtenido más de 1.000 claves de descifrado que podrían ayudar a las víctimas a recuperar sus datos sin tener que pagar ningún rescate.

Se dice que el panel web fue comprometido explotando la vulnerabilidad existente en PHP 8.x conocida por el identificador CVE-2023-3824...

Así luce actualmente la web del grupo:



Capturas de pantalla del Panel de Control del grupo de ransomware LockBit:





Enlaces de interés:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Fuente:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
#28
Hacking / Re:Cómo banear una cuenta de I...
Último mensaje por Torino - Febrero 21, 2024, 02:35:18 AM
Necesito saber cómo puedo eliminar alguien en Instagram q está haciendo pasar con alquien por favor necisto q reporte a esa cuenta
#29
Hacking / Re:Cómo banear una cuenta de I...
Último mensaje por Torino - Febrero 21, 2024, 02:17:10 AM
Bye baneado
#30
Seguridad Wireless / Re:Métodos para evitar que se ...
Último mensaje por Laresen - Febrero 20, 2024, 02:21:35 PM
muy interesante