Etiqueta: malware de ransomware Página 1 de 3

Aug 22, 2025  Las pruebas de periódicos del hacker / operaciones de seguridad Pentesting sigue siendo una de las formas más efectivas de identificar las debilidades de seguridad del mundo real antes de que lo hagan los adversarios. Pero a medida que el paisaje de amenaza ha evolucionado, la forma en que entregamos los resultados más pentest no ha mantenido el ritmo. La mayoría de las organizaciones aún dependen de los métodos de informes tradicionales: PDF estatales, documentos enviados por correo electrónico y seguimiento basado en la hoja de cálculo. El problema? Estos flujos de trabajo obsoletos introducen demoras, crean ineficiencias y socavan el valor del trabajo. Los equipos de seguridad necesitan ideas más rápidas, traspensas más estrictas y caminos más claros para la remediación. Ahí es donde entra entre la entrega automatizada. Plataformas como Plextrac automatizan la entrega de búsqueda de Pentest en tiempo real a través de flujos de trabajo sólidos basados ​​en reglas. (¡No espere el informe final!) El problema de entrega estática en un mundo dinámico que entrega un informe más pentest solo como un documento estático podría haber tenido sentido hace una década, pero hoy es un cuello de botella. Los resultados están enterrados en documentos largos que no se alinean con la forma en que los equipos operan día a día. Después de recibir el informe, las partes interesadas deben extraer hallazgos manualmente, crear boletos en plataformas como JIRA o ServiceNow, y coordinar el seguimiento de la remediación a través de flujos de trabajo desconectados. Para el momento en que comienza la remediación, pueden haber pasado días o semanas desde que se descubrieron los problemas. Por qué la automatización es importante ahora a medida que las organizaciones adoptan la gestión continua de exposición a amenazas (CTEM) y expanden la frecuencia de las pruebas ofensivas, el volumen de hallazgos crece rápidamente. Sin automatización, los equipos luchan por mantenerse al día. La administración de la entrega ayuda a reducir el ruido y entregar resultados en tiempo real para transferencias y visibilidad más rápidas en todo el ciclo de vida de vulnerabilidad. Los beneficios de la automatización de la entrega más pentest incluyen: Acción en tiempo real: Actuar sobre los hallazgos de inmediato, no después de que el informe se finalice la respuesta más rápida: Acelerar la remediación, la reestima y la validación Operaciones estandarizadas: garantizar que cada hallazgo siga un proceso consistente de trabajo menos manual: los equipos gratuitos para centrarnos en las iniciativas estratégicas mejoran los equipos enfocados en los que los equipos de los servicios de los servicios obtienen una ventaja competitiva menos manual por la entrega de la entrega y la entrega de la entrega y la integración directa en la integración de la integración directamente en el cliente. para impulsar el valor del cliente. Para las empresas, es una vía rápida para la madurez operativa y una reducción medible en el tiempo medio de remediación (MTTR). 5 Componentes clave de la ingestión de datos centralizados de entrega Pentest automatizada: comience consolidando todos los hallazgos, manuales y automatizados, en una sola fuente de verdad. Esto incluye salidas de escáneres (como Tenable, Qualys, Wiz, Snyk), así como los hallazgos manuales de Pentest. Sin centralización, la gestión de vulnerabilidad se convierte en un mosaico de herramientas desconectadas y procesos manuales. Entrega automatizada en tiempo real: a medida que se identifican los hallazgos, deben enrutarse automáticamente a las personas y flujos de trabajo adecuados sin esperar el informe completo. Los conjuntos de reglas predefinidos deben activar el triaje, la venta de boletos y el seguimiento para permitir que comience la remediación mientras las pruebas aún están en progreso. Enrutamiento automático y boletos: estandarizar el enrutamiento definiendo reglas basadas en la gravedad, la propiedad de activos y la explotabilidad. La automatización puede asignar hallazgos, generar boletos en herramientas como JIRA o ServiceNow, notificar a las partes interesadas a través de Slack o Correo electrónico y cerrar problemas informativos para garantizar que los resultados se enruten automáticamente a los equipos y sistemas adecuados. Flujos de trabajo de remediación estandarizados: cada hallazgo de sus datos centralizados debe seguir el mismo ciclo de vida desde el triaje hasta el cierre en función de los criterios que ha establecido, independientemente de la fuente. Ya sea que se descubra desde un escáner o pruebas manuales, el proceso de la clasificación hasta la solución debe ser consistente y rastreable. Valorización y validación activadas: cuando un hallazgo se marca como se resuelve, la automatización debe activar el flujo de trabajo de reestima o validación apropiado. Esto garantiza que nada se deslice a través de las grietas y mantiene la comunicación entre los equipos de seguridad y TI coordinados y el circuito cerrado. PlexTrac admite cada una de estas capacidades a través de su motor de automatización de flujo de trabajo, ayudando a los equipos a unificar y acelerar la entrega, remediación y cierre en una plataforma. Evite la automatización común de dificultades es más que solo la velocidad. Se trata de construir sistemas estandarizados y escalables. Sin embargo, si no se implementa cuidadosamente, puede crear nuevos problemas. Tenga cuidado con: Complicar los primeros esfuerzos: tratar de automatizar todo a la vez puede detener el impulso. Comience con poco y concéntrese primero en algunos flujos de trabajo repetibles. Agregue la complejidad con el tiempo y se expanda a medida que valida el éxito. Tratar la automatización como una configuración única: sus flujos de trabajo deben evolucionar junto con sus herramientas, estructura de equipo y prioridades. La falta de iterar conduce a procesos rancios que ya no se alinean con la forma en que los equipos operan. Automatizar sin flujos de trabajo claramente definidos: saltar a la automatización sin mapear primero sus flujos de trabajo actuales a menudo conduce al caos. Sin reglas claras para el enrutamiento, la propiedad y la escalada, la automatización puede crear más problemas de los que resuelve. Cómo comenzar aquí es cómo comenzar a automatizar la entrega de Pentest: asigne su flujo de trabajo actual: documente cómo se entregan, triadas, asignados y rastreados hoy. Identifique los puntos de fricción: busque tareas repetitivas, retrasos de transferencia y áreas donde la comunicación se descompone. Inicie pequeño: automatice uno o dos pasos de alto impacto primero, como la creación de boletos, las alertas por correo electrónico o la búsqueda de entrega. Agregue la complejidad con el tiempo a medida que valida lo que funciona bien y usa los resultados tempranos para evolucionar los flujos de trabajo, agregar reglas y agilizar aún más. Elija la plataforma correcta: busque soluciones que se integren con sus herramientas existentes y proporcionen visibilidad en el ciclo de vida de vulnerabilidad. Medida del impacto: rastrear métricas como MTTR, retrasos de transferencia y completar la finalización para mostrar el valor de sus esfuerzos. El futuro de los equipos de seguridad de entrega de Pentest está cambiando de pruebas reactivas a la gestión de exposición proactiva. La automatización de entrega de Pentest es una parte clave de esa evolución para ayudar a los equipos a moverse más rápido, colaborar mejor y reducir el riesgo de manera más efectiva. Para los proveedores de servicios, esta es una oportunidad para diferenciar los servicios, las operaciones de escala y ofrecer más valor con menos gastos generales. Para los equipos empresariales, significa conducir la madurez, demostrar el progreso y mantenerse por delante de las amenazas emergentes. Conclusión Pentesting es demasiado importante para quedarse atrapado en informes estáticos y flujos de trabajo manuales. Al automatizar el seguimiento de la entrega, el enrutamiento y la remediación, las organizaciones pueden desbloquear el valor total de sus esfuerzos de seguridad ofensivos haciendo que los hallazgos sean más procesables, estandarizando los flujos de trabajo de remediación y entregando resultados medibles. Ya sea que esté entregando pruebas a los clientes o a un equipo interno, el mensaje es claro: el futuro de la entrega de Pentest está automatizado. ¿Quieres ver cómo se ven los flujos de trabajo Pentest automatizados en acción? Plataformas como PlexTrac centralizan los datos de seguridad de las pruebas manuales y las herramientas automatizadas, lo que permite la entrega en tiempo real y los flujos de trabajo estandarizados en todo el ciclo de vida de vulnerabilidad. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores de ciberseguridad han arrojado luz sobre una nueva cadena de ataque que emplea correos electrónicos de phishing para entregar una puerta trasera de código abierto llamada Vshell. La «cadena de infección de malware específica de Linux que comienza con un correo electrónico spam con un archivo de archivo rar malicioso», dijo el investigador de Trellix Sagar Bade en una redacción técnica. «La carga útil no está oculta dentro del contenido del archivo o en una macro, está codificada directamente en el nombre de archivo en sí. Mediante el uso inteligente de la inyección de comando de shell y las cargas de bash codificadas en Base64, el atacante convierte una simple operación de listado de archivos en un desencadenante automático de ejecución de ejecución de malware». La técnica, agregada la compañía de seguridad cibernética, aprovecha un patrón simple pero peligroso comúnmente observado en los scripts de shell que surge cuando los nombres de archivos se evalúan con desinfección inadecuada, lo que provoca un comando trivial como Eval o Echo para facilitar la ejecución del código arbitrario. Además, la técnica ofrece la ventaja adicional de evitar las defensas tradicionales, ya que los motores antivirus generalmente no escanean los nombres de archivos. El punto de partida del ataque es un mensaje de correo electrónico que contiene un archivo RAR, que incluye un archivo con un nombre de archivo malicioso: «Ziliao2.pdf` {Echo,} | {Base64, -d} | Bash` «Específicamente, el nombre del archivo incorpora un código compatible con Bash que está diseñado para ejecutar comandos cuando el shell interpreta el shell. Vale la pena señalar que simplemente extraer el archivo del archivo no realiza la ejecución. Sintaxis, lo que significa que se creó con otro lenguaje o se soltó utilizando una herramienta o script externo que omite la validación de la entrada de shell, dijo Trellix. Parte, inicia la comunicación con un servidor de comando y control (C2) para obtener la carga útil de Vshell cifrada, decodificar y ejecutarla en el host del host. Instruir explícitamente al usuario que lo abra o extraiga «, explicó Bade.» El ángulo de ingeniería social es sutil: el usuario se distrae con el contenido de la encuesta, y la presencia del archivo adjunto podría confundirse con un documento relacionado con la encuesta o el archivo de datos. C2 Communications. abusa del entorno de ejecución permisiva de Linux y, en última instancia, ofrece un potente malware Vshell Vshell capaz de control remoto completo sobre el sistema. «El desarrollo se produce cuando PICUS Security lanzó un análisis técnico de una parte posterior a la explotación centrada en Linux denominado que la herramienta de monitoreo de Linux se denomina que se acomoda el marco de los estandarias de Linux. como Read, Write, Recv, Send o Connect, Ringreaper emplea io_uringprimitives (por ejemplo, io_uring_prep_*) para ejecutar operaciones equivalentes de forma asincrónica, «el investigador de seguridad Sıla özeren Hacıoğlu dijo». Este método ayuda a los mecanismos basados ​​en el anzuelo y reduce la visibilidad de la actividad maliciosa en la Telemetría en la telemetría de la telemetría. Ringreaper utiliza las sesiones de pseudo-terminal activa (PTS), las conexiones de red y los usuarios de inicio de sesión, al tiempo que reducen su huella y evita la detección de la detección de la detección de los binte de la entrega. La moderna interfaz de E/S asíncrona del kernel de Linux, IO_uring, para minimizar la dependencia de las llamadas del sistema convencionales que las herramientas de seguridad con frecuencia monitorean o ganconan «, dijo Picus.

Se ha observado que los actores de amenaza aprovechan la táctica engañosa de ingeniería social conocida como ClickFix para desplegar un versátil con el nombre de Cornflake Cornflake. V3. Mandiant, propiedad de Google, describió la actividad, que rastrea como UNC5518, como parte de un esquema de acceso como servicio que emplea páginas Captcha falsas como señuelos para engañar a los usuarios para que proporcionen acceso inicial a sus sistemas, que luego está monetizado por otros grupos de amenazas. «El vector de infección inicial, denominado ClickFix, implica atraer a los usuarios a los sitios web comprometidos para copiar un script de PowerShell malicioso y ejecutarlo a través del cuadro de diálogo Windows Run», dijo Google en un informe publicado hoy. Se evalúa que el acceso proporcionado por UNC5518 está aprovechado por al menos dos grupos de piratería diferentes, UNC5774 y UNC4108, para iniciar un proceso de infección en varias etapas y eliminar cargas útiles adicionales: UNC5774, otro grupo motivado financieramente que ofrece maíz como una forma de implementar varias cargas posteriores a la UNC4108, un acto de amenaza con la motivación desconocida que usa el powershell a la delgada de los powershell a la desglose. NetSupport Rat La cadena de ataque probablemente comience con la víctima que aterriza una página de verificación Captcha falsa después de interactuar con los resultados de búsqueda que emplean envenenamiento de optimización de motores de búsqueda (SEO) o anuncios maliciosos. Luego se engaña al usuario para ejecutar un comando Malicioso PowerShell al iniciar el cuadro de diálogo Run Windows, que luego ejecuta la carga útil de la próxima etapa desde un servidor remoto. El script recientemente descargado verifica si se ejecuta dentro de un entorno virtualizado y finalmente lanza Cornflake.v3. Observado tanto en las versiones de JavaScript como en PHP, Cornflake.v3 es una puerta trasera que admite la ejecución de cargas útiles a través de HTTP, incluidos ejecutables, bibliotecas de enlace dinámico (DLL), archivos JavaScript, scripts de lotes y comandos de PowerShell. También puede recopilar información básica del sistema y transmitirla a un servidor externo. El tráfico se representa a través de los túneles de Cloudflare en un intento por evitar la detección. «Cornflake.v3 es una versión actualizada de Cornflake.v2, que comparte una parte significativa de su base de código», dijo el investigador Mandiant Marco Galli. «A diferencia de V2, que funcionó únicamente como un descargador, V3 presenta persistencia del host a través de una clave de ejecución de registro y admite tipos de carga útil adicional». Ambas generaciones son notablemente diferentes de su progenitor, un descargador basado en C que utiliza sockets TCP para comunicaciones de comando y control (C2) y solo tiene la capacidad de ejecutar cargas de DLL. La persistencia en el host se logra mediante cambios en el registro de Windows. Al menos tres cargas útiles diferentes se entregan a través de Cornflake.v3. Esto comprende una utilidad de reconocimiento de Active Directory, un script para cosechar credenciales a través de Kerberoasting, y otra puerta trasera conocida como WindyTwist.SEA, una versión C de Windytwist que admite transmitir el tráfico TCP, proporcionando un shell inverso, comandos de ejecución y retirarse. También se han observado versiones seleccionadas de WindyTwist.SEA que intentan moverse lateralmente en la red de la máquina infectada. «Para mitigar la ejecución de malware a través de ClickFix, las organizaciones deben deshabilitar el cuadro de diálogo Windows Ejecutar siempre que sea posible», dijo Galli. «Los ejercicios de simulación regulares son cruciales para contrarrestar esta y otras tácticas de ingeniería social. Además, los sistemas robustos de registro y monitoreo son esenciales para detectar la ejecución de las cargas útiles posteriores, como las asociadas con Cornflake.v3». El auge de los kits de clicfix El uso de ClickFix se ha disparado en popularidad entre los actores de amenazas durante el año pasado, ya que engaña a los usuarios para infectados en sus máquinas con el pretexto de ayudar a resolver los problemas técnicos menores, completar las verificaciones de verificación Captcha al pasar por el torniquín de Cloudflare, o despreciar un servidor discordia que se supone que necesita verificar un usuario antes de unirse. Esto, a su vez, implica dar instrucciones a los usuarios que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, Terminal de Windows, Windows PowerShell o MacOS Terminal, dependiendo del sistema operativo utilizado. «Debido a que ClickFix se basa en la intervención humana para lanzar los comandos maliciosos, una campaña que utiliza esta técnica podría superar las soluciones de seguridad convencionales y automatizadas», dijo Microsoft en un artículo detallado. «A menudo se combina con vectores de entrega como phishing, malvertimiento y compromisos de conducción, la mayoría de los cuales incluso se hacen pasar por marcas y organizaciones legítimas para reducir aún más las sospechas de sus objetivos». La estratagema de ingeniería social ha sido adoptada por numerosos actores de amenazas para entregar información a los robadores de información (robador de lumma), troyanos de acceso remoto (Xworm, Asyncrat, NetSupport Rat y Sectoprat), cargadores de malware (Latrodectus y Mintsloader), Rootkits (R77) y banking (Lampion). Microsoft dijo que también ha observado varios actores de amenazas que venden a los constructores de ClickFix configurables (también llamados «Win + R») en los foros populares del delito cibernético desde finales de 2024 desde cualquier lugar de $ 200 a $ 1,500 por mes. Otras ofertas incluyen soluciones de una sola vez y en pieza, por ejemplo, el código fuente, la página de destino o la línea de comandos utilizada para iniciar la infección, a los precios entre $ 200 y $ 500. «Algunos de estos actores están agrupando a los constructores de ClickFix en sus kits existentes que ya generan varios archivos como LNK, JavaScript y SVG Files», dijo el fabricante de Windows. «Los kits ofrecen creación de páginas de destino con una variedad de señuelos disponibles, incluida Cloudflare». «También ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el diálogo de Windows Run. Estos kits afirman garantizar la derivación antivirus y protección web (algunos incluso prometen que pueden pasar por alto la pantalla inteligente de Microsoft Defender), así como la persistencia de carga útil». Para contrarrestar los ataques de estilo ClickFix, se aconseja que los usuarios sean educados para identificar ataques de ingeniería social y tengan cuidado de lo que se está pegando en aplicaciones como Terminal o PowerShell. Se recomienda a las organizaciones que consideren utilizar navegadores administrados por la empresa, bloquear las páginas web de la ejecución automáticamente de complementos flash y activar las políticas de archivos adjuntos seguros para mensajes entrantes. Otros pasos incluyen: la infección por USB cae a Xmrig Miner, la divulgación se produce cuando la firma de inteligencia de amenazas detalló una campaña en curso que emplea unidades USB para infectar a otros anfitriones y desplegar mineros de criptomonedas desde septiembre de 2024 «. Esto demuestra la efectividad continua del acceso inicial a través de unidades USB infectadas», dijo Mandiant. «El bajo costo y la capacidad de evitar la seguridad de la red hacen que esta técnica sea una opción convincente para los atacantes». La cadena de ataque comienza cuando se engaña a una víctima para ejecutar un atajo de Windows (LNK) en la unidad USB comprometida. El archivo LNK da como resultado la ejecución de un script Visual Basic también ubicado en la misma carpeta. The script, for its part, launches a batch script to initiate the infection – DIRTYBULK, a C++ DLL launcher to initiate the execution of other malicious components, such as CUTFAIL CUTFAIL, a C++ malware dropper responsible for decrypting and installing malware onto a system, such as HIGHREPS and PUMPBENCH, as well as third-libraries like OpenSSL, libcurl, and WinPthreadGC HighReps, un descargador que recupera archivos adicionales para garantizar la persistencia del Banco de Banco de Bobado de la Boba, una puerta trasera de C ++ que facilita el reconocimiento, proporciona acceso remoto al comunicarse con un servidor de base de datos PostgreSQL, y descargar XMRIG XMRIG, un software de origen abierto para extraer míneas de mínimo como Montonero, como MoniMerero, «Bifming Spections,», por influencia, «,», «, un sendar», «,», «, un raver,». Dijo Mandiant. «Escanea el sistema de unidades disponibles y luego crea un archivo por lotes, un archivo VBScript, un archivo de acceso directo y un archivo DAT».

Aug 21, 2025Ravie Lakshmananvulnerability / Software Security Commvault ha publicado actualizaciones para abordar cuatro brechas de seguridad que podrían explotarse para lograr la ejecución de código remoto en instancias susceptibles. La lista de vulnerabilidades, identificada en las versiones de CommVault antes del 11.36.60, es la siguiente: CVE-2025-577788 (puntaje CVSS: 6.9): una vulnerabilidad en un mecanismo de inicio de sesión conocido permite a los atacantes no autorizados a las llamadas API sin requerir credenciales de usuario de los usuarios CVE-2025-57789 (CVSS CVS: 5.3). Instalación y el primer inicio de sesión del administrador que permite a los atacantes remotos explotar las credenciales predeterminadas para obtener el control de administración CVE-2025-57790 (puntaje CVSS: 8.7): una vulnerabilidad transversal de ruta que permite a los atacantes remotos realizar el acceso del sistema de archivo no autorizado a través de un problema de traversal de ruta, lo que resulta en la ejecución de código remoto CVE-2025-57791 (cvss CVSS-6.9)-6.9). Permite a los atacantes remotos inyectar o manipular argumentos de línea de comandos pasados ​​a componentes internos debido a la validación insuficiente de entrada, lo que resulta en una sesión de usuario válida para un rol de bajo privilegio Los investigadores de WatchToWr Labs, Sonny MacDonald y Piotry Bazydlo 11.36.60. La solución SaaS de CommVault no se ve afectada. In an analysis published Wednesday, the cybersecurity company said threat actors could fashion these vulnerabilities into two pre-authenticated exploit chains to achieve code execution on susceptible instances: One that combines CVE-2025-57791 and CVE-2025-57790, and the other that strings CVE-2025-57788, CVE-2025-57789, and CVE-2025-57790. Vale la pena señalar que la segunda cadena de ejecución del código remoto previo a la autoridad se vuelve exitosa solo si la contraseña de administrador incorporada no se ha cambiado desde la instalación. La divulgación se produce casi cuatro meses después de que WatchToWr Labs informó una falla crítica del Centro de Comando CommVault (CVE-2025-34028, puntaje CVSS: 10.0) que podría permitir la ejecución del código arbitrario en las instalaciones afectadas. Un mes después, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa en la naturaleza.

AUG 20, 2025RAVIE LAKSHMANVULNERABLED / SEGURIDAD DE SEGURIDAD POPULAR Manager de contraseñas para navegadores web se han encontrado susceptibles a las vulnerabilidades de seguridad que podrían explotarse para robar credenciales de cuentas, códigos de autenticación de dos factores (2FA) y detalles de la tarjeta de crédito bajo ciertas condiciones. La técnica ha sido denominada Docum Object Model (DOM) Extension Clickjacking por el investigador de seguridad independiente Marek Tóth, quien presentó los hallazgos en la Conferencia de Seguridad Def Con 33 a principios de este mes. «Un solo clic en cualquier lugar en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la tarjeta de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)», dijo Tóth. «La nueva técnica es general y se puede aplicar a otros tipos de extensiones». Clickjacking, también llamado UI Reparación, se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los botones, cuando, en realidad, realizan inadvertidamente las ofertas del atacante. La nueva técnica detallada por Tóth implica esencialmente el uso de un script malicioso para manipular elementos de la interfaz de usuario en una página web que el navegador de las extensiones inyecte en el DOM, por ejemplo, las indicaciones de relleno automáticamente, haciéndolos invisibles al establecer su opacidad en cero. La investigación se centró específicamente en 11 complementos populares del navegador de contraseñas Administrador, que van desde 1 paso de paso hasta contraseñas de iCloud, todas las cuales se han encontrado susceptibles al clickjacking de extensión basado en DOM. Colectivamente, estas extensiones tienen millones de usuarios. Para lograr el ataque, todo lo que tiene un mal actor tiene que hacer es crear un sitio falso con una ventana emergente intrusiva, como una pantalla de inicio de sesión o un banner de consentimiento de cookies, mientras que el administrador de contraseñas incrusta un formulario de inicio de sesión invisible de tal manera que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial se llene automáticamente y se exfilice a un servidor remoto. «Todos los administradores de contraseñas llenaron credenciales no solo al dominio ‘principal’, sino también a todos los subdominios», explicó Tóth. «Un atacante podría encontrar fácilmente XSS u otras vulnerabilidades y robar las credenciales almacenadas del usuario con un solo clic (10 de 11), incluido TOTP (9 de 11). En algunos escenarios, la autenticación de PassKey también podría explotarse (8 de 11)». Siguiendo la divulgación responsable, seis de los proveedores aún no han liberado correcciones para el defecto – 1Password Manager de contraseña 8.11.4.27 Apple ICloud Passwords 3.1.25 Bitwarden Password Manager 2025.7.0 Enpass 6.11.6 LastPass 4.146.3 Logmeonce 7.12.4 Software Supply Chail Security Firma Schocket, que revisó independientemente la investigación, dijo Bitwarden, enpass, y icloud. 1Password y LastPass los marcaron como informativos. También se ha comunicado con US-Cert para asignar identificadores CVE para los problemas identificados. Hasta que las correcciones estén disponibles, se recomienda que los usuarios desacten la función de relleno automático en sus administradores de contraseñas y solo usen copiar/pegar. «Para los usuarios de navegador basados ​​en Chromium, se recomienda configurar el acceso del sitio a ‘en clic’ en la configuración de extensión», dijo Tóth. «Esta configuración permite a los usuarios controlar manualmente la funcionalidad de relleno automático». Actualizar BitWarden ha lanzado la versión 2025.8.0 del Administrador de contraseñas para abordar las vulnerabilidades de clickjacking.

Los investigadores de seguridad cibernética han demostrado una nueva técnica de inyección rápida llamada TISTFIX que engaña a un modelo generativo de inteligencia artificial (Genai) para llevar a cabo acciones previstas al incrustar la instrucción maliciosa dentro de una verificación falsa de Captcha en una página web. Descrito por Guardio Labs, una «toma de la era de A-A-en la estafa de clickfix», la técnica de ataque demuestra cómo los navegadores impulsados por la IA, como el cometa de Perplexity, que prometen automatizar tareas mundanas como compras para artículos en línea o que manejan los correos electrónicos en el nombre de los usuarios de los usuarios. «Con PromptFix, el enfoque es diferente: no tratamos de ver al modelo a la obediencia», dijeron los investigadores de Guardio Nati Tal y sacudieron Chen. «En cambio, lo engañamos utilizando técnicas tomadas del libro de jugadas de ingeniería social humana, atrayendo directamente a su objetivo de diseño central: ayudar a su humano rápidamente, por completo y sin dudarlo». Esto lleva a una nueva realidad que la compañía llama Scamlexity, un portmanteau de los términos «estafa» y «complejidad», donde la IA agente, los sistemas que pueden buscar objetivos de forma autónoma, tomar decisiones y tomar medidas con una supervisión humana mínima, lleva estafas a un nivel completamente nuevo. Con asistentes de codificación con AI como adorable demostrado que son susceptibles a técnicas como Vibescamming, un atacante puede engañar efectivamente al modelo AI para que entregue información confidencial o realice compras en sitios web parecidos que se disfrazan de Walmart. Todo esto se puede lograr emitiendo una instrucción tan simple como «Comprar un Apple Watch» después de que el humano aterriza en el sitio web falso en cuestión a través de uno de los diversos métodos, como anuncios de redes sociales, mensajes de spam o envenenamiento de optimización de motores de búsqueda (SEO). La escamlexidad es «una nueva era compleja de estafas, donde la conveniencia de IA choca con una nueva superficie de estafa invisible y los humanos se convierten en el daño colateral», dijo Guardio. La compañía de seguridad cibernética dijo que realizó la prueba varias veces en Comet, y el navegador solo se detiene ocasionalmente y le pide al usuario humano que complete el proceso de pago manualmente. Pero en varios casos, el navegador entró todo, agregando el producto al carrito y llenando automáticamente la dirección guardada del usuario y los detalles de la tarjeta de crédito sin pedir su confirmación en un sitio de compras falso. En una línea similar, se ha descubierto que pedirle a Comet que revise sus mensajes de correo electrónico para cualquier elemento de acción es suficiente para analizar los correos electrónicos de spam que pretenden ser de su banco, haga clic automáticamente en un enlace integrado en el mensaje e ingrese las credenciales de inicio de sesión en la página de inicio de sesión falsa. «El resultado: una cadena de confianza perfecta que se volvió pícaro. Al manejar toda la interacción del correo electrónico al sitio web, Comet efectivamente respondió para la página de phishing», dijo Guardio. «El humano nunca vio la dirección sospechosa del remitente, nunca se cernía sobre el enlace, y nunca tuvo la oportunidad de cuestionar el dominio». Eso no es todo. A medida que las inyecciones rápidas continúan afectando a los sistemas de IA de manera directa e indirecta, los navegadores de IA también tendrán que lidiar con las indicaciones ocultas ocultas dentro de una página web que es invisible para el usuario humano, pero que el modelo AI puede analizar las acciones no intencionadas. Este llamado Attfix Attack está diseñado para convencer al modelo AI de que haga clic en botones invisibles en una página web para evitar los cheques de Captcha y descargar cargas útiles maliciosas sin ninguna participación por parte del usuario humano, lo que resulta en un ataque de descarga. «PromptFix solo funciona en Comet (que realmente funciona como un agente de IA) y, para el caso, también en el modo de agente de ChatGPT, donde logramos hacer clic en el botón o llevar a cabo acciones según las instrucciones», dijo Guardio a The Hacker News. «La diferencia es que en el caso de ChatGPT, el archivo descargado aterriza dentro de su entorno virtual, no directamente en su computadora, ya que todo todavía se ejecuta en una configuración de sandboxed». Los hallazgos muestran la necesidad de que los sistemas de IA vayan más allá de las defensas reactivas para anticipar, detectar y neutralizar estos ataques mediante la construcción de barandillas robustas para la detección de phishing, verificaciones de reputación de URL, falsificación de dominio y archivos maliciosos. El desarrollo también se produce cuando los adversarios se apoyan cada vez más en plataformas Genai como constructores de sitios web y asistentes de escritura para crear contenido realista de phishing, marcas de confianza clon y automatizar la implementación a gran escala utilizando servicios como constructores de sitios de bajo código, según Palo Alto Networks Unit 42. Lo que es más, los asistentes de codificación de IA pueden exponer inadvertidamente el código propaño o el código sensible a la propiedad sensible, la creación de los puntos de entrada potencial de la compañía. La firma de seguridad empresarial, Proofpoint, dijo que ha observado «numerosas campañas que aprovechan los servicios adorables para distribuir kits de phishing de autenticación multifactor (MFA) como el magnate, el malware, como los drenadores de billeteras de criptomonedas o los cargadores de malware, y los kits de phishing con tarjeta de crédito e información personal». Los sitios web falsificados creados con el uso adorable de CaptCha cheques que, cuando se resuelven, redirigen a una página de phishing de credencial de marca Microsoft. Se ha encontrado que otros sitios web se hacen pasar por servicios de envío y logística como UPS para engañar a las víctimas para que ingresen su información personal y financiera, o los lleven a páginas que descargan troyanos de acceso remoto como Zgrat. Las URL adorables también han sido abusadas por estafas de inversión y el phishing de la credencial bancaria, reduciendo significativamente la barrera de entrada para el delito cibernético. Desde entonces, Levable ha eliminado los sitios e implementado protecciones de seguridad impulsadas por la LA AI para evitar la creación de sitios web maliciosos. Otras campañas han aprovechado el contenido engañado engañoso distribuido en las plataformas de YouTube y las redes sociales para redirigir a los usuarios a sitios de inversión fraudulentos. Estas estafas de comercio de IA también se basan en blogs falsos y sitios de revisión, a menudo alojados en plataformas como Medium, Blogger y Pinterest, para crear una falsa sensación de legitimidad. Una vez que los usuarios aterrizan en estas plataformas falsas, se les pide que se registren para una cuenta comercial e instruyen por correo electrónico por su «gerente de cuentas» que haga un pequeño depósito inicial entre $ 100 y $ 250 para supuestamente activar las cuentas. La plataforma de negociación también los insta a proporcionar prueba de identidad para la verificación e ingrese su billetera de criptomonedas, tarjeta de crédito o detalles de banca por Internet como métodos de pago. Estas campañas, por grupo-IB, han atacado a los usuarios en varios países, incluidos India, el Reino Unido, Alemania, Francia, España, Bélgica, México, Canadá, Australia, la República Checa, Argentina, Japón y Turquía. Sin embargo, las plataformas fraudulentas son inaccesibles de las direcciones IP que se originan en los Estados Unidos e Israel. «Genai mejora las operaciones de los actores de amenaza en lugar de reemplazar las metodologías de ataque existentes», dijo CrowdStrike en su informe de caza de amenazas para 2025. «Los actores de amenazas de todas las motivaciones y niveles de habilidad casi seguramente aumentarán su uso de herramientas de Genai para la ingeniería social en el término cercano, particularmente a medida que estas herramientas se vuelven más disponibles, afortunadas de los usuarios y sofisticadas».

AUG 19, 2025RAVIE LAKSHMANANINUX / AMENAZA DE MALWARE ALIMENTOS ESTÁN EXPLOTANDO UN FOLA DE SEGURIDAD DE CASA DE APACHOS DE APACHE APACHE para obtener acceso persistente a los sistemas de Linux Linux y desplegar malware llamado DripDropper. Pero en un giro inusual, se ha observado a los atacantes desconocidos parchear la vulnerabilidad explotada después de asegurar el acceso inicial para evitar una mayor explotación por parte de otros adversarios y evadir la detección, dijo Red Canary en un informe compartido con las noticias de los hackers. «Las herramientas de seguimiento de comando y control del adversario (C2) variaban según el punto final e incluyeron Sliver, y los túneles de CloudFlare para mantener el comando y el control encubiertos sobre el largo plazo», dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds. Los ataques explotan una falla de seguridad de severidad máxima en Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0), una vulnerabilidad de ejecución de código remoto que podría explotarse para ejecutar comandos de shell arbitrary. Se abordó a fines de octubre de 2023. El defecto de seguridad ha sido bajo una gran explotación, con múltiples actores de amenazas que lo aprovechan para implementar una amplia gama de cargas útiles, incluidos ransomware Hellokitty, Rootkits Linux, malware de Botnet Gotitan y Shell Web Godzilla. En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenaza aprovechan el acceso para modificar las configuraciones SSHD existentes para permitir el inicio de sesión de la raíz, otorgándoles un acceso elevado para soltar un descargador previamente desconocido doblado DripDropper. Dripdropper, un formato ejecutable de Pyinstaller y un formato vinculable (ELF), requiere una contraseña para ejecutarse en un análisis de resistencia. También se comunicó con una cuenta de Dropbox controlada por el atacante, una vez más ilustrando cómo los actores de amenaza dependen cada vez más de los servicios legítimos para combinarse con la actividad de la red regular y la detección de evasión. El descargador finalmente sirve como un conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde el monitoreo del proceso hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo caído se logra modificando el archivo 0anacron presente en /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly directorios. El segundo archivo descartado por DripDropper también está diseñado para contactar a Dropbox para recibir comandos, al tiempo que altera los archivos de configuración existentes relacionados con SSH, probablemente como un mecanismo de respaldo para el acceso persistente. La etapa final implica que el atacante descargue de los parches Apache Maven para CVE-2023-46604, conectando efectivamente la falla. «Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya establecieron otros mecanismos de persistencia para el acceso continuo», dijeron los investigadores. Aunque ciertamente es rara, la técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad de Francia, ANSSI, detalló a un corredor de acceso inicial de China-Nexus que emplea el mismo enfoque para asegurar el acceso a los sistemas y evitar que otros actores de amenazas usen las deficiencias para entrar y enmascarar el vector de acceso inicial utilizado en primer lugar. La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de manera oportuna, limitar el acceso a los servicios internos al configurar reglas de ingreso a direcciones IP confiables o VPN, y monitorear el registro de entornos en la nube para marcar la actividad anómala.

Aug 19, 2025Ravie Lakshmananmalware / Cyber Attack Institutions, como las empresas comerciales y de corretaje, son el objetivo de una nueva campaña que ofrece un troyano de acceso remoto previamente no reportado llamado Godrat. La actividad maliciosa implica la «distribución de archivos maliciosos .SCR (ahorrador de pantalla) disfrazados de documentos financieros a través de Skype Messenger», dijo el investigador de Kaspersky Saurabh Sharma en un análisis técnico publicado hoy. Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica llamada esteganografía para ocultar dentro de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del ahorro de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania. Se evalúa en base a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas útiles secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido adoptado por varios grupos de piratería chinos. La compañía de ciberseguridad rusa dijo que el malware es una evolución de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (también conocido como ATKA APT41). Los archivos de ahorro de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable legítimo. El DLL extrae ShellCode oculto dentro de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat. El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la lista de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, después de lo cual el servidor responde con instrucciones de seguimiento que le permiten: inyectar un complemento recibido dll en la memoria Cerrar el socket y terminar el proceso de rata Descargar un archivo de una url proporcionada y iniciarlo usando la API de Createprocesa abrir un URL dado que el comando de shell para abrir el explorador de Internet, uno de los complementos descargados, el malware es un archivo de archivo que puede enumerar el archivo, el sistema de archivos, el sistema de los archivos, el sistema de archivo, que se desarrolla, el sistema de archivo, que puede abrir el archivo de archivo, lo que puede realizar el archivo de archivo, que se desarrolla, el sistema de archivo, es un archivo, que puede enumerar el archivo, que puede enumerar el archivo, el sistema, que puede enumerarse. carpetas e incluso ejecutar búsquedas de archivos en una ubicación especificada. El complemento también se ha utilizado para ofrecer cargas útiles adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat. Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en línea Virustotal a fines de julio de 2024. El constructor se puede usar para generar un archivo ejecutable o una DLL. Cuando se elige la opción ejecutable, los usuarios tienen la opción de seleccionar un binario legítimo de una lista a la que se inyecta el código malicioso en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede guardar con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif. «Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de antigüedad, se continúan siendo utilizadas hoy», dijo Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia gama de víctimas». «Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden mantener una larga vida útil en el panorama de la ciberseguridad».

Aug 18 de 2025Ravie Lakshmananmalware / Enterprise Seguridad Los actores de amenaza detrás del malware Noodlophile están aprovechando los correos electrónicos de phishing de lanza y los mecanismos de entrega actualizados para desplegar el robador de información en los ataques dirigidos a las empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región ASIA-Pacific (APAC). «La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de lanza que se hacen pasar por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía», dijo el investigador de Morphisec, Shmuel Uzan, en un informe compartido con las noticias del hacker. Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia artificial (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook. Dicho esto, la adopción de señuelos por infracción de derechos de autor no es un desarrollo nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escala que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys. Pero la última iteración de los ataques de noodlophile exhibe una desviación notable, particularmente cuando se trata del uso de vulnerabilidades de software legítimas, puesta en escena ofondeada a través de Telegram y la ejecución dinámica de la carga útil. Todo comienza con un correo electrónico de phishing que busca engañar a los empleados para que descarguen y ejecuten cargas útiles maliciosas al inducir un falso sentido de urgencia, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por evadir la sospecha. Presente dentro del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente lance el robador de noodlofilos ofuscados, pero no antes de ejecutar scripts de lotes para establecer la persistencia de la persistencia. Lo notable de la cadena de ataque es que aprovecha las descripciones del grupo de telegrama como un resolución de caída muerta para obtener el servidor real («Paste[.]RS «) que alberga la carga útil del robador para desafiar los esfuerzos de detección y eliminación de eliminación». Este enfoque se basa en las técnicas de la campaña anterior (por ejemplo, archivos codificados por Base64, lolbin abuse como certutil.exe), pero agrega capas de evasión a través de la evasión basada en telegram y la ejecución de la memoria y la ejecución de la memoria para evitar la detección basada en disco «, dice Uzan. Eso puede capturar datos de los navegadores web y recopilar información del sistema. Facebook, «Morphisec dijo.» Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa «.

AUG 18, 2025RAVIE Lakshmananvulnerabilidad / seguridad cibernética de seguridad en la nube han levantado la tapa de la explotación de los actores de amenaza de una falla de seguridad ahora parada en Microsoft Windows para desplegar el malware Pipemagic en los ataques de ransomware Ransomexx. Los ataques implican la explotación de CVE-2025-29824, una vulnerabilidad de escalada de privilegios que impacta el sistema de archivos de registro común de Windows (CLFS) que fue abordado por Microsoft en abril de 2025, dijeron Kaspersky y Bi.Zone en un informe conjunto publicado hoy. Pipemagic se documentó por primera vez en 2022 como parte de los ataques de ransomware Ransomexx dirigidos a compañías industriales en el sudeste asiático, capaz de actuar como una puerta trasera completa que proporciona acceso remoto y ejecutando una amplia gama de comandos en hosts comprometidos. En esos ataques, se ha encontrado que los actores de amenaza explotan CVE-2017-0144, una falla de ejecución de código remoto en Windows SMB, para infiltrarse en la infraestructura de víctimas. Las cadenas de infección posteriores observadas en octubre de 2024 en Arabia Saudita fueron vistos aprovechando una aplicación falsa de Operai Chatgpt como cebo para entregar el malware. A principios de abril, Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de Pipemagic a un actor de amenaza que rastrea como Storm-2460. «Una característica única de Pipemagic es que genera una matriz aleatoria de 16 bytes utilizada para crear una tubería con nombre formateada como: \\. \ Pipe \ 1. «, dijeron los investigadores Sergey Lozhkin, Leonid Bezvershenko, Kirill Korchemny e Ilya Savelya. «Después de eso, se inicia un hilo que crea continuamente esta tubería, intenta leer datos y luego destruirlo. Este método de comunicación es necesario para que la puerta trasera transmita cargas y notificaciones cifradas». Pipemagic es un malware modular basado en complementos que utiliza un dominio alojado en el proveedor de Microsoft Azure Cloud para organizar los componentes adicionales, con 2025 ataques dirigidos a Arabia Saudita y Brasil que depende de un archivo de índice de ayuda de Microsoft («metafile.mshi») como un cargador. El cargador, a su vez, desempaqueta el código C# que descifra y ejecuta ShellCode integrado. «El código de shell-Code inyectado es un código ejecutable para sistemas de Windows de 32 bits», dijeron los investigadores. «Carga un ejecutable sin cifrar incrustado dentro del código de carcasa en sí». Kaspersky dijo que también descubrió artefactos de cargador Pipemagic disfrazados de un cliente de ChatGPT en 2025 que son similares a los vistos anteriormente en octubre de 2024. Se ha observado que las muestras aprovechan las técnicas de secuestro de DLL para ejecutar una DLL maliciosa que imita un archivo de actualización de Google Chrome («Googleupdate.dll). Independientemente del método de carga utilizado, todo conduce al despliegue del trasero Pipemagic que admite varios módulos: el módulo de comunicación asíncrona que admite cinco comandos para finalizar el complemento, leer/escribir archivos, terminar una operación de archivo o terminar el módulo de cargadores de operaciones de archivo para inyectar la carga adicional en la memoria en la memoria y ejecutarlos en el inyector de inyectores para lanzar un c.# ejecutable «la ejecución de todos los tibe de inyección de los inyectores de inaguelo. Las organizaciones en Arabia Saudita y su aparición en Brasil indican que el malware permanece activo y que los atacantes continúan desarrollando su funcionalidad «, dijeron los investigadores. «Las versiones detectadas en 2025 muestran mejoras sobre la versión 2024, destinadas a persistir en los sistemas de víctimas y moverse lateralmente dentro de las redes internas. En los ataques de 2025, los atacantes usaron la herramienta Procdump, renombrada a dllhost.exe, para extraer memoria del proceso LSASS».