El colapso del gigante de las pruebas genéticas 23andMe ha planteado serias preocupaciones de privacidad para millones de personas que compartieron su ADN con la compañía. Una vez valorada en $ 6 mil millones, la compañía se declaró en bancarrota y ahora está vendiendo activos, incluidos, potencialmente, sus datos genéticos. Si alguna vez ha usado 23andMe para explorar su ascendencia o rasgos de salud, ahora es el momento de actuar. Esto es lo que está sucediendo, lo que significa para sus datos, cómo eliminar su cuenta y los pasos que puede tomar para proteger mejor su privacidad en línea en el futuro. ¿Qué está pasando en 23andMe? 23andMe, una vez pionero en las pruebas genéticas en el hogar, ha caído en dificultades financieras después de una serie de desafíos, incluida una violación masiva de datos en 2023 que expuso información personal de casi 7 millones de usuarios, según TechCrunch. El valor de la compañía se desplomó en más del 99%, lo que condujo a renuncias de la junta masiva y una presentación en bancarrota de marzo de 2024. Ahora, como 23andMe se prepara para vender sus activos bajo la supervisión judicial, su base de datos masiva de ADN de los clientes, reportamente de más de 15 millones de usuarios, está en la mesa. A pesar de las garantías de la compañía de que su política de privacidad sigue vigente, los expertos y los defensores de la privacidad advierten que sus datos genéticos confidenciales podrían terminar en manos de terceros, incluidas compañías farmacéuticas o incluso agencias de aplicación de la ley. ¿Mi privacidad está en riesgo? Si usaste 23andMe, sí. Los datos genéticos son la información más personal que puede compartir. Puede revelar detalles sobre su ascendencia, riesgos para la salud e incluso secretos familiares. Con 23andMe no cubierto por HIPAA (la Ley Federal de Privacidad de la Salud), sus datos de ADN no están protegidos de la forma en que estarían los registros médicos en el consultorio de un médico, informa la Gaceta de Harvard. Aunque 23andMe afirma que no compartirá datos a nivel individual sin consentimiento, se reserva el derecho de vender o transferir información personal como parte de una bancarrota o adquisición. Eso significa que sus datos podrían ser comprados por otra compañía, una con diferentes prácticas o intenciones de privacidad. Los residentes de California, en particular, tienen el derecho legal de eliminar sus datos bajo la Ley de Privacidad de Información Genética (GIPA) y la Ley de Privacidad del Consumidor de California (CCPA). Cómo eliminar sus datos 23andMe Si está listo para tomar medidas, aquí está cómo eliminar sus datos genéticos y revocar los permisos de investigación a través de su cuenta 23andMe: para eliminar su cuenta y datos genéticos: inicie sesión en su cuenta 23andMe. Ir a la configuración. Desplácese hacia abajo a 23andMe Data y haga clic en Ver. (Opcional) Descargue sus datos si desea mantener una copia. Desplácese hasta la sección Delete Data. Haga clic en Eliminar los datos permanentemente. Confirme a través del enlace de correo electrónico que recibirá. Para destruir su muestra de saliva: vaya a la configuración. Navegar a las preferencias. Seleccione la opción para destruir su muestra biológica almacenada. Para revocar el consentimiento de investigación: ir a la configuración. Navegue a la investigación y los consentimientos de productos. Retire su consentimiento para compartir datos. Los consejos de McAfee para proteger su privacidad en línea Su ADN no son los únicos datos personales en riesgo. Desde direcciones de correo electrónico y direcciones de viviendas hasta números de teléfono e incluso hábitos de compra, los corredores de datos están recopilando y vendiendo su información en línea, a menudo sin su conocimiento o consentimiento. Por eso es fundamental tomar el control de su huella digital. Todos los planes McAfee+ proporcionan la capacidad de escanear la web para obtener detalles de su información personal. Los escaneos de limpieza de la cuenta en línea de McAfee para las cuentas que ya no usa y lo ayuda a eliminarlas, junto con su información personal. La limpieza de datos personales de McAfee lleva esto un paso más allá, escaneando los sitios de corredores de datos para su información personal y solicitando la eliminación de sus detalles de esos sitios. Combinados, estas herramientas pueden darle el control de retroceso sobre su privacidad. Todos nuestros planes McAfee+ incluyen escaneos para encontrar sus cuentas y dirigirlo sobre cómo eliminar sus datos. En pocas palabras: si alguna vez ha usado 23andMe, sus datos genéticos podrían estar en riesgo de ser transferidos o vendidos. Tome medidas ahora eliminando su cuenta y revocando permisos. Y para mantener protegidos el resto de sus datos personales, use herramientas como McAfee+ para mantener sus datos personales seguros en línea. Introducir McAfee+ Descargar McAfee+ ahora \ x3cimg Height = «1» Width = «1» style = «Display: Ninguno» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageView&NOScript=1″/> \ x3c/noscript>);
Categoría: Ciberseguridad Página 17 de 107
Una nueva campaña Atomic MacOS Stealer (AMOS) está dirigida a los usuarios de MacOS disfrazando el malware como versiones «agrietadas» de aplicaciones legítimas, han advertido los micro investigadores. La campaña está diseñada para ayudar a los ciberdelincuentes a superar las recientes mejoras de seguridad de Apple, que representan una «adaptación táctica significativa», encontraron los investigadores. «Si bien las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .dmg, los actores de amenaza giraron rápidamente a los métodos de instalación basados en terminales que demostraron ser más efectivos para evitar los controles de seguridad», señalaron. Las víctimas son atraídas a la instalación del InforeTealer a través de técnicas de ingeniería social, ya sea descargando un instalador .dmg malicioso disfrazarse de una aplicación agrietada o, después de que se le pide que copie y pegue los comandos en la terminal de macOS, que se asemeja a la técnica falsa de Captcha. Una vez instalado, AMOS establece la persistencia antes de robar datos confidenciales del sistema de la víctima. Esto incluye credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, elementos de llavero, notas de Apple y archivos de carpetas comunes. La cadena de infección de Amos y la entrega del informe de tendencia, publicado el 4 de septiembre, observó que los atacantes intentan obtener acceso inicial a los sistemas a través de descargas de software agrietados. Los usuarios afectados visitaron el sitio web HAXMAC[.]CC varias veces. Esta URL aloja varios programas de software descifrados para MacOS. haxmac[.]Sitio web de CC, que aloja el software «Cracked» para MacOS. Fuente: Trend Micro En los casos analizados, los usuarios buscaron y descargaron específicamente «CleanMymac» en sus máquinas. Este es un programa legítimo que se puede descargar desde la App Store. «Sin embargo, descargar el programa de una fuente no confiable, como se ve en estos casos, pone en riesgo la máquina y la organización porque estos programas agrietados podrían estar inclinados con malware o troyanizado por actores de amenazas», señalaron los investigadores. Después de descargar el software Cracked, las víctimas son redirigidas a la página de destino de Amos, lo que les pide que haga clic en «Descargar para macOS» o se les indica que copie y peguen comandos maliciosos en la terminal de Apple. Esta página parece realizar huellas dactilares del sistema operativo, determinando si el visitante está usando Windows o macOS antes de redirigirlos a la página de carga útil correspondiente. Se observó que varios dominios diferentes actúan como redirectores, mientras que el destino de redirección cambia con cada visita para ayudar a evitar la detección. Sin embargo, las instrucciones en las páginas siguen siendo idénticas. Además, el actor de amenaza utiliza la rotación frecuente del dominio y la URL para sus comandos de descarga, que probablemente evaden detecciones y derribos basados en URL estáticos. «Como resultado, se espera que los dominios y las URL cambien con el tiempo», dijeron los investigadores. Ambas acciones conducen a la ejecución de un script de instalación malicioso. Este script descarga un archivo Applecript «Actualizar» en el directorio TEMP. Un archivo de script ‘com.finder.helper.plist’ configura un macOS LaunchDaemon para ejecutar continuamente el ‘. Script de agente ‘, que luego se ejecuta en un bucle infinito para detectar el usuario iniciado y ejecutar el binario oculto. El archivo binario establece la persistencia al recuperar el nombre de usuario del usuario iniciado actualmente, excluyendo root. Una vez que se ejecuta el script, copia datos confidenciales del sistema comprometido. Los investigadores dijeron que el tipo de información robada por AMOS plantea riesgos significativos aguas abajo para las empresas, así como para las personas dirigidas. Esto incluye relleno de credenciales, robo financiero o más intrusiones en los sistemas empresariales. Los investigadores instaron a las organizaciones a implementar estrategias de defensa en profundidad que no dependen únicamente de las protecciones del sistema operativo incorporado para proteger contra las tácticas utilizadas en esta campaña. Crédito de la imagen: Igorgolovniov/Shutterstock.com URL de publicación original: https://www.infosecurity-magazine.com/news/macos-stealer-cracked-apps-bypass/
En una colaboración histórica, las agencias de ciberseguridad e inteligencia de 15 países se han alineado en una visión compartida de las facturas de software de materiales (SBOMS), emitiendo una nueva orientación conjunta para fortalecer la seguridad global de la cadena de suministro. El documento, titulado «Una visión compartida de la factura de software de materiales (SBOM) para la ciberseguridad», se publicó el 3 de septiembre. Fue firmada por 21 agencias gubernamentales de 15 países, incluida la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y la NSA. Describe los términos y conceptos clave relacionados con SBOMS, incluida una definición común de lo que es un SBOM, la proposición de valor de SBOMS y cómo implementarlos. Fuente: «Una visión compartida de la Lectura de Materiales de Software (SBOM) para la ciberseguridad» / Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) Describe los roles de los productores de SBOM, los usuarios finales (denominados «elegidos» en el documento), operadores y organizaciones de seguridad nacional. Además, la guía fomenta la adopción generalizada de SBOM en sectores y fronteras, armonizó implementaciones técnicas para reducir la complejidad, el costo y la integración de SBOMS en flujos de trabajo de seguridad para una mejor gestión de riesgos. Fuente: «Una visión compartida de la factura de materiales de software (SBOM) para la ciberseguridad» / Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) «Este hito refleja un consenso internacional creciente sobre la importancia de la transparencia de software para asegurar la cadena de suministro digital», comentó un depósito de la CISA. Lukáš Kintr, director de la Agencia Nacional de Seguridad de la Información y Cibernética Checa (Núkib), uno de los firmantes, enfatizó la creciente complejidad del software que las organizaciones deben enfrentar. «El software de hoy a menudo consiste en cientos de componentes que se originan en varias fuentes y bibliotecas. SBOM aporta transparencia esencial a este entorno complejo y muestra claramente de qué está hecho el software. Considero que SBOM es un paso clave para crear un software verdaderamente seguro y resistente, ya a partir de su diseño», dijo. Nobutaka Takeo, Director de la División de Ciberseguridad de la Oficina de Política de Comercio e Información del Ministerio de Economía, Comercio e Industria (METI) de la industria, declaró: «Nos complace ver que la importancia de SBOM se reconoce internacionalmente a través de esta guía. El año pasado, Japón Guidance 2.0, y continuará aumentando la abundancia de los estacionarios relevantes, mientras que las discusiones relevantes, mientras que la Guía activa, publicó el tema de SBOM». Trabajando hacia la armonización y la legislación de SBOM, Allan Friedman, quien dirigió los esfuerzos de SBOM de CISA entre agosto de 2021 y julio de 2025, acogió con beneplácito la publicación de la orientación conjunta. En una publicación de LinkedIn, enfatizó que era «la mayor cantidad de organizaciones que se han unido a CISA en un documento internacional». «No hay nada innovador aquí, pero es genial tener una aportación tan amplia de tantos países», agregó, antes de sugerir que aún se necesitan más pasos, incluida la armonización de las implementaciones técnicas. «Las implementaciones divergentes podrían obstaculizar la adopción generalizada y la implementación sostenible de SBOM. Un enfoque alineado y coordinado para SBOM mejorará la efectividad al tiempo que reduce los costos y las complejidades», dijo. En declaraciones a InfoSecurity, Josh Bressers, vicepresidente de seguridad en Anchore y líder del grupo de trabajo OpenSSF SBOM en todas partes, describió el esfuerzo como una «gran» iniciativa. Sin embargo, corroboró la opinión de Friedman, afirmando que este acuerdo de alto nivel es solo «el primer paso lógico para ver una adopción global de la transparencia del software a través de SBOMS». Los eduadores desean el siguiente paso es ver la legislación y orientación común sobre la seguridad de la cadena de suministro de software entre los países firmantes. «La mayoría de los productores operan en una etapa global ahora, ahora, ahora, ahora, [regulations] Al igual que la Ley de Resiliencia Cibernética de la UE (CRA) afectará a una gran cantidad de empresas. Sin duda, otros países crearán una guía similar. Si no tenemos una visión común, será muy difícil cumplir con todos los requisitos «, concluyó. Junto con CISA, NSA, Núkib y Meti, las organizaciones signatorias incluyeron: el Centro de Seguridad Cibernética Australiana de señales de Australia (ASD’s ACSC) el Centro de Seguridad Cibernética de la Información (BABSI (BEBSI) de la Dirección de Ciberseguridad (ANSSI) de la Información de la Información de la Información de la Información (ANSSI). Response Team (CERT-In) Italy’s National Cybersecurity Agency (ACN) Japan’s National Cybersecurity Office (NCO) The Netherlands’ National Cyber Security Centre (NCSC-NL) New Zealand’s National Cyber Security Centre (NCSC-NZ) Poland’s Research and Academic Computer Network (NASK) The Cyber Security Agency of Singapore (CSA) Slovakia’s National Security Authority (NBÚ) South Korea’s National Intelligence Service/National Cyber Security Center (NIS/NCSC) y la Agencia de Seguridad de Internet y Seguridad de Corea (KISA) Leen más: CISA busca el cambio de la guía de requisitos mínimos de SBOM de Biden ERA
Los ciberdelincuentes atraen a los creadores de contenido con promesas de magia AI de vanguardia, solo para intentar robar sus datos o secuestrar sus dispositivos el 17 de abril de 2025 •, 3 min. Leer la locura en torno a las herramientas generativas de IA no solo la remodelación de las industrias: también proporciona terreno fértil para los ciberdelincuentes, que siempre se apresuran a aprovechar el encanto de la última gran cosa en tecnología. Entonces, ¿qué pasa si, en lugar de descargar un video generado por AI de Capcut u otra herramienta similar, le robaron sus datos o le dieron el control de su computadora a un extraño? La amenaza no es hipotética: los investigadores de seguridad han observado previamente campañas que explotaron la popularidad de Capcut para distribuir múltiples infantes y otros malware. Veamos ahora brevemente otra campaña que está dirigida a personas interesadas en el contenido que funciona con IA al prometer versiones premium de software popular como Capcut, Adobe Express y Canva. El arte del señuelo El siguiente ejemplo, visto por el usuario X G0NJXA, muestra un sitio web que se hace pasar por Capcut, una herramienta a menudo utilizada por los creadores de Tiktok y pretende ser la versión premium de Capcut. (Tenga en cuenta que la versión premium real se llama «Capcut Pro» o se conoce simplemente como «Pro» en el sitio web, no «CapcutProai» como en la captura de pantalla). Después de aterrizar en el sitio falso, se le pide que ingrese un mensaje o cargue un archivo de referencia. Si cumple, el sitio imitará el procesamiento de la solicitud. Una vez que se construye la anticipación y la trampa se produce, se le solicita que descargue su nueva «creación» brillante. Agujas para decir que el archivo, llamado creation_made_by_capcut.mp4 – capcut.com, está lejos de lo que pretende ser. En realidad, es un ejecutable para el software de acceso remoto. Avance rápidamente unos pocos clics y, a menos que otras salvaguardas se activen, podría estar entregando el control de su dispositivo a los delincuentes. Aquí hay dos sitios más que se disfrazan de verdad y son parte de la misma campaña: lejano, tan cerca para el contexto, mientras que las herramientas de acceso remoto legítimos, como ConnectWise SCHIRENConnect, TeamViewer y AnyDesk, son invaluables para los profesionales de TI que brindan soporte técnico, en las manos equivocadas que pueden ser mal utilizadas para tomar el control de su computadora para fines maliciosos. Estos incluyen robo de datos, instalación de ransomware u otro malware, y el uso de la máquina comprometida como una plataforma de lanzamiento para ataques en otros dispositivos. Este tipo de amenazas también se asoman en las redes corporativas, ya que los actores de amenaza pueden, por ejemplo, distribuir ejecutables portátiles y autónomos para el software legítimo de monitoreo y gestión remota (RMM) que elude a los privilegios de administración y evita la necesidad de una instalación completa del software. «La mayoría de las aplicaciones de control remoto vienen con la opción de generar un ejecutable preconfigurado para conectarse a una dirección IP o usuario específico. Esto es útil para la asistencia remota, pero también para los atacantes. La víctima simplemente tiene que abrir el archivo, y en un par de clics, pueden dar el control de su computadora a un cibercriminal», dice Martina López, un investigador de seguridad con el laboratorio de Eset en Latin America. Word to the wise A few simple steps will go a long way toward keeping you safe: When downloading new software, make sure to get it from the legitimate source, typically the publisher’s official website Avoid clicking on unsolicited links in email or social media messages that often claim to lead to such websites – the messages may be fake The same goes for ads – you’re better off navigating to the website directly by typing it in your browser or searching for it (with a critical eye, though) in your search Motor de elección Inspeccione la URL del sitio web: los fabricantes de software normalmente no lucen varias extensiones de bancos extraños en URL o versiones «alternativas» furtivas (piense en «CapcutProai») asegúrese de que su sistema operativo, navegador y otro software estén al día para proteger a la fecha para proteger contra las vulnerabilidades conocidas, use el software de seguridad múltiple, y se mantenga en otras capas de ciberdina básicas, a, al mismo tiempo, se proteja un software de seguridad múltiple, y se mantenga en el strong, y se mantengan en el séntico, y se mantengan un software único, y se mantenga a la fecha, a los que se mantenga la fecha de los strong y los fértiles. La autenticación de dos factores en todas sus cuentas en línea que no hace falta decir que este no es la primera ni la última vez que los usuarios de Capcut han sido atacados por cibercriminales, y estos ejemplos simplemente muestran que los ciberdelincuentes siempre están ansiosos por explotar la confianza y la última gran cosa en tecnología. La buena noticia es que, si bien estas tácticas a menudo son resbaladizas, no son invencibles. Tu vigilancia es tu mejor escudo contra las tácticas de los estafadores.
Los investigadores de ciberseguridad han levantado la tapa en un clúster de amenazas previamente indocumentado denominado Ghostredirector que ha logrado comprometer al menos 65 servidores de Windows principalmente ubicados en Brasil, Tailandia y Vietnam. Los ataques, según la empresa de ciberseguridad eslovaca ESET, llevaron a la implementación de una puerta trasera pasiva C ++ llamada Rungan y un módulo nativo de Información de Internet (IIS) con nombre en código Gamshen. Se cree que el actor de amenaza está activo desde al menos agosto de 2024 «. Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de GAMSHEN es proporcionar fraude de SEO como servicio, es decir, para manipular los resultados del motor de búsqueda, lo que aumenta la clasificación de la página de un sitio web de destino configurado», dijo el investigador de ESET Fernando Tavella en un informe compartido con las noticias del hacker. «Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de GoogleBot, es decir, no sirve contenido malicioso o de otra manera afecta a los visitantes regulares de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web de host comprometido al asociarlo con las técnicas sombreadas de SEO y los sitios web impulsados». Algunos de los otros objetivos del grupo de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, con entidades de educación, atención médica, seguro, transporte, tecnología y sectores minoristas destacados. El acceso inicial a las redes de destino se logra explotando una vulnerabilidad, probablemente un defecto de inyección SQL, después de lo cual PowerShell se utiliza para entregar herramientas adicionales alojadas en un servidor de puesta en escena («868ID[.]com»). «This conjecture is supported by our observation that most unauthorized PowerShell executions originated from the binary sqlserver.exe, which holds a stored procedure xp_cmdshell that can be used to execute commands on a machine,» ESET said. Rungan is designed to await incoming requests from a URL matching a predefined pattern (ie, «https: //+: 80/v1.0/8888/sys.html»), y luego procede a analizar y ejecutar los comandos incrustados en ellos. run a command on the server using pipes and the CreateProcessA API Written in C/C++, Gamshen is an example of an IIS malware family called «Group 13,» which can act both as a backdoor and conduct SEO fraud. It functions similar to IISerpent, another IIS-specific malware that was documented by ESET back in August 2021. IISerpent, configured as a malicious extension for Microsoft’s web server software, le permite interceptar todas las solicitudes HTTP realizadas en los sitios web alojados por el servidor comprometido, específicamente aquellos que se originan en los rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda a un sitio web de estafa de la elección del atacante que elección de los atacantes de regreso. «Es más difícil detectar ya que residen principalmente en los mismos directorios que los módulos legítimos utilizados por las aplicaciones objetivo, y siguen la misma estructura de código que los módulos limpios». Donde estos vínculos de retroceso redirigen a los usuarios desprevenidos, pero se cree que el esquema de fraude SEO se está utilizando para promover varios sitios web de juegos de azar. ASP, PHP, and JavaScript web shells It’s assessed with medium confidence that GhostRedirector is a China-aligned threat actor based on the presence of hard-coded Chinese strings in the source code, a code-signing certificate issued to a Chinese company, Shenzhen Diyuan Technology Co., Ltd., to sign the privilege escalation artifacts, and the use of the password «huang» for one of the Los usuarios creados por Ghostredirector en el servidor comprometido. Servidor comprometido para promocionar un sitio web de juego de terceros, potencialmente un cliente que paga que participe en un esquema de servicio de fraude de SEO como un servicio «, dijo la compañía.» Ghostredirector también demuestra persistencia y una reiliencia operativa mediante la implementación de múltiples herramientas de acceso remoto en el servidor comprometido.
Los cibercriminales se están volviendo más inteligentes. Ahora están utilizando un kit de herramientas de desarrollo llamado .NET Maui para crear aplicaciones falsas que se parecen y se sienten como lo real: aplicaciones de manejo, aplicaciones de citas e incluso redes sociales. Pero en lugar de ayudarlo, estas aplicaciones roban en secreto su información privada. Desglosamos la investigación completa de McAfee Labs aquí: ¿Qué es .net Maui y por qué debería importarle? .NET Maui es una herramienta utilizada por los desarrolladores para crear aplicaciones que funcionan en muchos dispositivos, como teléfonos, tabletas y computadoras, todo de un conjunto de código. Eso es genial para los creadores de aplicaciones. Pero ahora, los piratas informáticos también lo están usando. Si bien McAfee puede detectar este malware, la decisión de construir con .NET Maui ayuda a ocultar su código peligroso de la mayoría del software antivirus. Piense en ello como un ladrón con una capa de invisibilidad, a menos que realmente esté mirando, no los verá. Cómo estas aplicaciones falsas te engañan 1. Parecen hackers legítimos están creando aplicaciones que parecen ser de compañías reales. Por ejemplo, una aplicación falsa fingió ser IndusInd Bank, pidiendo a los usuarios que ingresen información confidencial como: Información de la tarjeta de crédito Identificadores de impuestos e identificadores personales (PAN y Aadhaar) Una vez que llegue a enviar, esa información va directamente al servidor del hacker. Figura 1. Pantalla de la aplicación Fake Indusind Bank Solicitando información del usuario 2. Oculta las cosas peligrosas que las aplicaciones normales de Android tienen código en un formato que las herramientas de seguridad pueden escanear. Estas aplicaciones falsas ocultan su código en archivos binarios para que no se pueda detectar fácilmente. Eso les permite permanecer en su teléfono por más tiempo, escondiendo en silencio en el fondo. Ejemplo de malware: la aplicación de redes sociales falsas En otro caso, los hackers hicieron una aplicación que fingió ser una plataforma de redes sociales. Este se dirigió a usuarios de habla china y fue aún más complicada que la aplicación Bank Fake. Esto es lo que hizo: robó contactos, fotos y mensajes de texto del teléfono utilizaron un proceso de 3 etapas para ocultar su código encriptado todo, por lo que es más difícil rastrear los extraños y los permisos de aplicaciones falsos para confundir escáneres de seguridad y, en lugar de usar tráfico regular de Internet, envió datos robados a través de canales encriptados secretos, incluso si alguien lo interceptara, no podía leerlo, lo que no podían leerlo. Figura 2. Varias aplicaciones falsas que usan la misma técnica ¿De dónde vienen estas aplicaciones? Estas aplicaciones no están en la tienda Google Play. En cambio, los piratas informáticos los comparten: aplicaciones de mensajería falsas de sitios web enlaces incompletos en mensajes de texto o grupos de chat, por lo que si alguien le envía un enlace a una nueva aplicación genial que no es de Play Store, sea muy cuidadoso. Cómo protegerse aquí hay algunas maneras fáciles de mantenerse seguras: descargue aplicaciones solo de tiendas de aplicaciones oficiales como Google Play o la Apple App Store Evite hacer clic en los enlaces de extraños o fuentes no confiables instalando software de seguridad como McAfee+ para atrapar amenazas en tiempo real Mantenga sus aplicaciones actualizadas. Software actualizan a menudo para que los agujeros de seguridad sean los permisos de seguridad de los agujeros. Estas nuevas amenazas basadas en .NET Maui son furtivas, pero no son imparables. Con los hábitos inteligentes y las herramientas adecuadas, puede mantener su teléfono y su información personal segura. ¿Quieres protección en tiempo real en tu teléfono? Descargue McAfee+ y avance las últimas amenazas. Presentación de la protección y privacidad de robo de McAfee+ Identity para su vida digital Descargar McAfee+ ahora \ x3cimg Height = «1» Width = «1» style = «Display: None» src = «https://www.facebook.com/tr?id=766537420057144&ev=pageView&nisscript=1″/> \ x3c/niscript/’;
Su IA lee la impresión pequeña, y eso es un problema. Esta semana, en el episodio 433 de «Smashing Security», profundizamos en Legalpwn-Instrucciones maliciosas escondidas en los comentarios y renuncias de código que los dulces a la IA en las cargas útiles peligrosas de estampado de caucho (o incluso pretenden que son una calculadora inofensiva). Mientras tanto, la nueva investigación de Anthrope revela que los piratas informáticos ya han utilizado agentes de IA para entrar en redes, robar contraseñas, examinar los datos robados e incluso escribir notas de rescate personalizadas. En otras palabras, un hacker con un ayudante de IA puede funcionar como un equipo completo de cibercriminales. Además: un geek geek alegre en la historia del teclado, y el captcha más molesto y completamente funcional generado por IA que le encantará infligir a sus amigos. Todo esto y mucho más se discute en la última edición del galardonado podcast «Smashing Security» con el veterano de seguridad informática Graham Cluley, unido esta semana por Mark Stockley. ADVERTENCIA: Este podcast puede contener nueces, temas de adultos y lenguaje grosero. Anfitrión: Graham Cluley: Invitado: Mark Stockley: Episode Links: Patrocinado por: Vanta-Expanda el alcance de su programa de seguridad con la automatización de cumplimiento líder del mercado … mientras ahorra tiempo y dinero. ¡Smashing Security Oyentes obtienen $ 1000 de descuento! Apoye el programa: puede ayudar al podcast diciéndole a sus amigos y colegas sobre «Smashing Security» y dejándonos una reseña en Apple Podcasts o Podchaser. ¡Conviértete en partidario de Patreon para episodios sin anuncios y nuestro feed de liberación temprana! Síguenos: Siga el programa en Bluesky, o únase a nosotros en el Smashing Security Subreddit, o visite nuestro sitio web para obtener más episodios. Gracias: Tema del tema: «Vinyl Memories» de Mikael Manvelyan. Efectos de sonido atacados: Audioblocks.
Un grupo de piratería recientemente identificado ha comprometido al menos 65 servidores de Windows en todo el mundo, principalmente en Brasil, Tailandia y Vietnam. Según los investigadores de ESET, el grupo, llamado Ghostredirector, desplegó dos herramientas previamente desconocidas: una puerta trasera C ++ llamada Rungan y un módulo de Servicios de Información de Internet malicioso (IIS) conocido como Gamshen. Rungan permite a los atacantes ejecutar comandos en servidores comprometidos. Mientras tanto, Gamshen manipula los resultados de los motores de búsqueda para inflar artificialmente las clasificaciones de ciertos sitios web, particularmente las plataformas de juego. Esta táctica, descrita como fraude como servicio de SEO, aprovecha los servidores comprometidos para mejorar las clasificaciones de páginas sin afectar a los visitantes regulares. «Gamshen […] no sirve contenido malicioso ni afecta a los visitantes regulares de los sitios web: la participación en el esquema de fraude de SEO puede dañar la reputación del sitio web de host comprometido al asociarla con técnicas sombreadas de SEO y los sitios web impulsados », explicó ESET. Además, los investigadores observaron que los ghostredirector también permitieron las explotaciones conocidas como los badpotato y los EFSpotato a ganar administradores de los programadores. Nuevas cuentas, asegurando que los atacantes puedan mantener el acceso incluso si se eliminó otro malware. Aunque se observaron grupos más pequeños en Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. DragonRank, previamente vinculado al fraude de SEO. Persistencia, pero también usa plataformas legítimas para canalizar el tráfico hacia los sitios web sospechosos. Las configuraciones del servidor y las cuentas de usuario también pueden ayudar a detectar persistencia maliciosa antes de causar daños a largo plazo.
¿Qué ataques prácticos de IA existen hoy? «Más que cero» es la respuesta, y están mejorando. 22 de abril de 2025 •, 3 min. Leer que iba a suceder: LLM Tech Gone Rogue estaba destinado a tener objetivos inocentes, después de merogar en un área gris entre el bien y el mal, que encarna la paradoja tecnológica donde la tecnología buena y sólida se puede reutilizar para los nefastos. Así es como lo hacen. La mayoría de los modelos de LLM que llevan a los titulares tienen «barreras morales» contra hacer cosas malas, el equivalente digital del juramento hipocrático a «primero, no hacer daño». Si le pregunta a uno de ellos cómo construir un arma, por ejemplo, se les ha dado una guía de procesamiento previo para evitar proporcionar respuestas altamente precisas que probablemente le permitan participar en un daño extenso. Si bien no puede preguntar directamente sobre cómo construir un arma, puede aprender a hacer mejores preguntas, con una combinación de herramientas, y aún así llegar a la respuesta. Una forma elegante de hacerlo es programáticamente, a través de consultas API. Algunos proyectos lanzados recientemente enfocan la API de backend de una LLM en el objetivo de obtener acceso a la raíz en los servidores. Otro también aprovecha el backend de ChatGPT para encontrar más inteligentemente objetivos de oportunidades para atacar más tarde. Apilar herramientas habilitadas para AI junto con una combinación de otros diseñados para resolver otros problemas como evitar IP ofuscadas (hay algunos de ellos) para detectar el servidor de destino real puede resultar poderoso, especialmente a medida que se automatizan más. En el mundo digital, estas tácticas se pueden utilizar para construir herramientas de mashup que identifiquen vulnerabilidades, y luego iterar contra posibles exploits, y los modelos constituyentes de LLM no son más sabios. Esto es algo análogo a un «diseño de sala limpia», donde se le pide a un LLM que resuelva una parte constituyente más pequeña de la tarea más grande definida por un atacante, luego una mashup forma la eventual constelación que comprende el arma. Legalmente, varios grupos están tratando de medir obstáculos efectivos que retrasarán estos trucos desagradables, o imponer penalizaciones para que LLM sea cómplice en cierta medida. Pero es difícil asignar valores fraccionados específicos de falla. La cubierta de la culpa de las cantidades respectivas apropiadas, especialmente a la carga legal de la prueba, será una tarea difícil. Los modelos de IA de tierra fresca de Fresh Ground también pueden buscar miles de millones de líneas de código en repositorios de software existentes que buscan patrones de código inseguros y el desarrollo de armamento digital que luego puedan lanzar contra el suministro mundial de dispositivos que ejecutan software vulnerable. De esta manera, se podría tener un lote nuevo y nuevo como objetivos potenciales para el compromiso y un impulso para aquellos que deseen lanzar ataques de día cero. Es fácil imaginar que los estados nacionales aumenten este tipo de esfuerzo: la arma predictiva de las fallas de software ahora y en el futuro usando IA. Esto pone a los defensores en el «pie trasero», y causará una especie de escalada de AI de defensa digital que parece ligeramente distópica. Los defensores aplicarán sus propias defensas habilitadas para AI para el equipo azul, o simplemente para evitar ser pirateados. Esperamos que los defensores estén preparados para ello. Incluso los modelos AI disponibles de hoy en día pueden «razonar» a través de problemas sin sudar, reflexionándolos sin pensar de una manera de pensamiento que imita el razonamiento humano (en nuestros momentos más lúcidos, de todos modos). De acuerdo, la tecnología no evolucionará espontáneamente a una pareja sensible (en el crimen) en el corto plazo, pero después de haber ingerido datos de datos de Internet, podría argumentar que «sabe» sus cosas, y puede ser engañado para derramar sus secretos. También continuará haciendo cada vez más con menos, posiblemente dispensando con la mano excesiva, ayudando a los despojados de gres morales a golpear muy por encima de su peso y permitiendo a los actores ingeniosos operar a una escala sin precedentes. Aparentemente, algunos de los primeros herederos de las cosas por venir ya han estado en exhibición como parte de los ejercicios del equipo rojo o incluso vistos en la naturaleza. Una cosa es segura: la velocidad de los ataques más habilitados para la inteligencia aumentará. Desde el momento en que se lanza una CVE que es explotable, o una nueva técnica implementada, tendrá que pensar rápidamente. Espero que esté listo.
sep 04, 2025Ravie Lakshmanancybersecurity / malware El grupo de piratería patrocinado por el estado ruso rastreado como APT28 se ha atribuido a una nueva puerta trasera de Microsoft Outlook llamada Notdoor en ataques dirigidos a múltiples compañías de diferentes sectores en países miembros de la OTAN. Notdoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes para una palabra de activación específica», dijo el equipo de inteligencia de amenazas LAB de S2 Grupo. «Cuando se detecta dicho correo electrónico, permite a un atacante exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima». El artefacto obtiene su nombre del uso de la palabra «nada» dentro del código fuente, agregó la compañía de seguridad cibernética española. La actividad destaca el abuso de la perspectiva como una comunicación sigilosa, exfiltración de datos y canal de entrega de malware. Actualmente no se conoce el vector de acceso inicial exacto utilizado para entregar el malware, pero el análisis muestra que se implementa a través del ejecutable OneDrive de Microsoft («onedrive.exe») utilizando una técnica denominada carga lateral de DLL. Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), que luego instala la puerta trasera VBA y deshabilita las protecciones de seguridad macro. Específicamente, ejecuta los comandos de PowerShell codificados en Base64 para realizar una serie de acciones que implican baliza a un webhook controlado por el atacante[.]Sitio, Configuración de la persistencia a través de modificaciones del registro, habilitando la ejecución de macro y desactivar los mensajes de diálogo relacionados con las perspectivas para evadir la detección. Notdoor está diseñado como un proyecto Visual Basic para Aplicaciones (VBA) de Outlook que hace uso de la aplicación. MAPILOGONCOMPLETE y Aplicación. Eventos de NewmailEx para ejecutar la carga útil cada vez que se inicia Outlook o que llega un nuevo correo electrónico. Luego procede a crear una carpeta en la ruta %temp %\ temp si no existe, utilizándola como una carpeta de puesta en escena para almacenar archivos TXT creados durante el curso de la operación y exfiltrarlos a una dirección de correo de protones. También analiza los mensajes entrantes para una cadena de activación, como «informe diario», lo que hace que extraiga los comandos incrustados que se ejecutarán. El malware admite cuatro comandos diferentes: CMD, para ejecutar comandos y devolver la salida estándar como un archivo adjunto de correo electrónico CMDNO, para ejecutar los comandos DWN, para exfiltrar archivos desde la computadora de la víctima enviándolos como accesorios de correo electrónico UPL, para soltar archivos a la computadora de la víctima «Los archivos exfiltrados por el malware están guardados en la carpeta», dijo Lab52. «El contenido del archivo se codifica utilizando el cifrado personalizado del malware, se envía por correo electrónico y luego se elimina del sistema». La divulgación se produce cuando el Centro de Inteligencia de Amenazos Basado en Beijing detalló la Tradecraft en evolución de Gamaredon (también conocida como APT-C-53), destacando su uso de telégrafo propiedad de telegrama como un resolutor de gotas muertas para señalar la infraestructura de comando y control (C2). Los ataques también son notables por el abuso de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet para fines de prueba y depuración, como dominios C2 para mayor sigiloso. «Esta técnica proporciona dos ventajas: primero, la IP del servidor C2 original está completamente enmascarada por los nodos de retransmisión de Microsoft, bloqueando los trazas de inteligencia de amenazas basadas en la reputación de IP», dijo la compañía de seguridad cibernética. «En segundo lugar, al explotar la capacidad del Servicio para restablecer los nombres de dominio de manera minuciosa a minuto, los atacantes pueden rotar rápidamente los nodos de infraestructura, aprovechando las credenciales de confianza y la escala de tráfico de los servicios en la nube convencionales para mantener una operación de amenaza continua de exposición casi cero». Las cadenas de ataque implican el uso de dominios falsos de trabajadores de CloudFlare para distribuir un script de Visual Basic como Pterolnk, que puede propagar la infección a otras máquinas copiando las unidades USB conectadas, así como descargar cargas útiles adicionales. «Esta cadena de ataque demuestra un alto nivel de diseño especializado, que emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, disfrazamiento de la ruta, abuso del servicio en la nube) para llevar a cabo una operación completamente encubierta desde la implantación inicial hasta la exfiltración de datos», dijo el Centro de Inteligencia de Amenazos 360.