Etiqueta: noticias cibernéticas Página 3 de 9

Aug 15, 2025Ravie Lakshmananmalware / código abierto Un actor de amenaza persistente avanzada de habla china (APT) se ha observado que se dirige a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de origen abierto con el objetivo de establecer un acceso a largo plazo dentro de los entornos de víctimas de alto valor. La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237, que se cree que es activo desde al menos 2022. El grupo de piratería se evalúa como un subgrupo de UAT-5918, que se sabe que atacaba las entidades de infraestructura crítica en la Interructura en Taiwan más lejos de 2023 «. Dentro de Taiwán y depende en gran medida del uso de herramientas de origen abierto, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas dentro de la empresa comprometida «, dijo Talos. Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y lanzar cargas útiles secundarias, como Cobalt Strike. A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web después del compromiso inicial, y la incorporación de acceso directo a protocolo de escritorio (RDP) y clientes VPN para el acceso persistente. Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un reconocimiento inicial y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento. «Si bien UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acceso traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acceso y luego acceder a los sistemas a través de RDP», los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron. Una vez que este paso es exitoso, el atacante gira a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el lanzamiento de Cobalt Strike. También se implementa en hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un giro interesante, los ataques posteriores han aprovechado una versión actualizada de Soundbill que incrusta una instancia de Mimikatz para lograr los mismos objetivos. Además de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento de contraseñas de ClearText. «UAT-7237 especificó el chino simplificado como el lenguaje de visualización preferido en su [SoftEther] El archivo de configuración del idioma del cliente de VPN, lo que indica que los operadores eran competentes con el idioma «, señaló Talos. La divulgación se produce cuando Intezer dijo que descubrió una nueva variante de una puerta trasera conocida llamada Firewood asociada con un actor de amenaza alineado por China, llamado Gelsemium, aunque con baja confianza. USBDEV.KO para ocultar procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.

Aug 16, 2025Rravie Lakshmananandroid / Investigadores de ciberseguridad de malware han detallado el funcionamiento interno de un troyano de banca Android llamado Ermac 3.0, descubriendo serias deficiencias en la infraestructura de los operadores. «La versión 3.0 recientemente descubierta revela una evolución significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas», dijo Hunt.io en un informe. Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una evolución de Cerberus y BlackRock. Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y botín, poseen un linaje compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones. Hunt.io dijo que logró obtener el código fuente completo asociado con la oferta de malware como servicio (MAAS) desde un directorio abierto en 141.164.62[.]236: 443, hasta su backend PHP y Laravel, Frontend basado en React, Golang Exfiltration Server y Android Builder Panel. Las funciones de cada uno de los componentes se enumeran a continuación, el servidor Backend C2, proporciona a los operadores la capacidad de administrar dispositivos de víctimas y acceder a datos comprometidos, como registros de SMS, cuentas robadas y panel de frontend de datos de dispositivos, permite a los operadores interactuar con los dispositivos conectados con los comandos emitidos, administrar superposiciones y acceder al servidor de exfiltración de datos, un servidor de Golang, un servidor de Golang, un servidor de Golang, utilizado para el exfiltrado, el servidor de la información del exfiltrateo y el control de la información de la información. compromised devices ERMAC backdoor – An Android implant written in Kotlin that offers the ability to control the compromised device and collect sensitive data based on incoming commands from the C2 server, while ensuring that the infections don’t touch devices located in the Commonwealth of Independent States (CIS) nations ERMAC builder – A tool to help customers configure and create builds for their malware campaigns by providing the application name, server URL, and other settings for the Android Backdoor, además de un conjunto ampliado de objetivos de aplicación, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel de comando y control (C2) revisado, una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC. «La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador administrativo estático, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de administración», dijo la compañía. «Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas».

Aug 16, 2025Ravie Lakshmananmalware / Vulnerabilidad El actor de amenaza conocido como CiCryPTHUB continúa explotando una falla de seguridad ahora emparejada que afecta a Microsoft Windows para ofrecer cargas útiles maliciosas. Trustwave SpiderLabs dijo que recientemente observó una campaña CiCrryPTHUB que reúne la ingeniería social y la explotación de una vulnerabilidad en el marco de la consola de gestión de Microsoft (MMC) (CVE-2025-26633, también conocido como MSC Eviltwin) para activar la rutina de infección a través de un archivo de consola Microsoft (MSC) de Microsoft (MSC). «Estas actividades son parte de una ola amplia y continua de actividad maliciosa que combina la ingeniería social con la explotación técnica para evitar las defensas de seguridad y obtener control sobre los entornos internos», dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi. CiCrypThub, también rastreado como Larva-208 y Water Gamayun, es un grupo de piratería ruso que primero ganó prominencia a mediados de 2024. Operando a un alto tempo, la tripulación motivada financieramente es conocida por aprovechar varios métodos, incluidas las ofertas de trabajo falsas, la revisión de cartera e incluso comprometer los juegos de Steam, para infectar objetivos con malware del robador. El abuso del actor de la amenaza de CVE-2025-26633 fue documentado previamente por Trend Micro en marzo de 2025, descubriendo ataques que entregan dos traseros llamados Silentprism y Darkwisp. La última secuencia de ataque involucra al actor de amenaza que afirma ser del departamento de TI y enviando una solicitud de equipos de Microsoft al objetivo con el objetivo de iniciar una conexión remota e implementar cargas útiles secundarias por medio de los comandos de PowerShell. Entre los archivos retirados se encuentran dos archivos MSC con el mismo nombre, uno benigno y el otro malicioso, que se usa para activar CVE-2025-26633, lo que finalmente resulta en la ejecución del archivo MSC de Rogue cuando se lanza su contraparte inocua. El archivo MSC, por su parte, obtiene y se ejecuta desde un servidor externo, otro script de PowerShell que recopila información del sistema, establece persistencia en el host y se comunica con un servidor de comando y control de cifrado (C2) para recibir y ejecutar cargas maliciosas, incluido un robador llamado Staaler. «El script recibe comandos cifrados de AES del atacante, los descifra y ejecuta las cargas útiles directamente en la máquina infectada», dijeron los investigadores. También desplegado por el actor de amenaza en el transcurso del ataque es un cargador basado en GO, llamado SilentCrystal, que abusa de soporte valiente, una plataforma legítima asociada con el navegador web valiente, para alojar malware de la próxima etapa, un archivo zip que contiene los dos archivos MSC para armar CVE-2025-26633. Lo que hace que esto sea significativo es que cargar archivos adjuntos de archivos en la plataforma de soporte valiente está restringido para los nuevos usuarios, lo que indica que los atacantes lograron de alguna manera obtener acceso no autorizado a una cuenta con permisos de carga para extraer el esquema. Algunas de las otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en modo cliente y servidor para enviar metadatos del sistema al servidor C2, así como configurar la infraestructura C2 utilizando el protocolo de túnel proxy Socks5. También hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia, esta vez configurando plataformas falsas como Rivatalk para engañar a las víctimas para que descarguen un instalador MSI. Ejecutar el instalador conduce a la entrega de varios archivos: el binario de instalador antimalware de lanzamiento temprano (ELAM) legítimo de Symantec que se usa para colocar un DLL malicioso que, a su vez, lanza un comando PowerShell para descargar y ejecutar otro script de PowerShell. Está diseñado para recopilar información del sistema y exfiltrarla al servidor C2, y espera las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para dar a los atacantes el control total del sistema. El malware también muestra un mensaje emergente falso de «Configuración del sistema» como una artimaña, mientras se lanza un trabajo de fondo para generar tráfico de navegador falso al realizar solicitudes HTTP a sitios web populares para combinar las comunicaciones C2 con actividad de red normal. «El actor de amenaza de CiCrrypThub representa a un adversario adaptativo y bien recubierto, que combina ingeniería social, abuso de plataformas confiables y la explotación de las vulnerabilidades del sistema para mantener la persistencia y el control», dijo Trustwave. «Su uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en evolución subraya la importancia de las estrategias de defensa en capas, la inteligencia de amenazas continua y la capacitación en conciencia del usuario».

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de EE. UU. Renovó las sanciones contra la plataforma de intercambio de criptomonedas rusa Garantex para facilitar los actores de ransomware y otros ciberdelincuentes al procesar más de $ 100 millones en transacciones vinculadas a actividades ilícitas desde 2019. El Tesoro dijo que también imponen sanciones a los sucesores de Garantex, granja, así como tres ejecutivos de Garantex, y las compañías de Seis. Russia and the Kyrgyz Republic that have enabled these activities – Sergey Mendeleev (Co-founder) Aleksandr Mira Serda (Co-founder) Pavel Karavatsky (Co-founder) Independent Decentralized Finance Smartbank and Ecosystem (InDeFi Bank) Exved Old Vector A7 LLC A71 LLC A7 Agent LLC «Digital assets play a crucial role in global innovation and El desarrollo económico y los Estados Unidos no tolerarán el abuso de esta industria para apoyar la evasión del delito cibernético y las sanciones «, dijo bajo el Secretario del Tesoro de Terrorismo e Inteligencia Financiera, John K. Hurley. «Explotar los intercambios de criptomonedas para lavar el dinero y facilitar los ataques de ransomware no solo amenaza nuestra seguridad nacional, sino que también empaña la reputación de los proveedores legítimos de servicios de activos virtuales». Garantex fue sancionado por primera vez por los Estados Unidos en abril de 2022 para facilitar las transacciones de los mercados de Darknet y actores ilícitos como Hydra y Conti. El sitio web del intercambio de criptomonedas fue incautado como parte de una operación coordinada de aplicación de la ley en marzo de 2025, y su cofundador, Aleksej Besciokov, fue arrestado en India. D solo meses después, TRM Labs reveló que Garantex puede haber renombrado como Grinex, probablemente en un esfuerzo por evadir las sanciones, y el primero continuó procesando más de $ 100 millones en transacciones desde que se impusieron las sanciones. El ochenta y dos por ciento de su volumen total estaba vinculado a entidades sancionadas en todo el mundo. «Días después del derribo de Garantex, los canales de telegrama afiliados al intercambio comenzaron a promover Grinex, una plataforma con una interfaz casi idéntica, registrada en Kirguistán en diciembre de 2024», señaló TRM Labs en mayo. El Tesoro de los Estados Unidos dijo que los usuarios criminales usan Garantex para lavar sus fondos maltratados, procesando fondos de aquellos relacionados con las variantes de ransomware Conti, Black Basta, Lockbit, Netwalker y Phoenix Cryptolocker. También dijo que Garantex trasladó su infraestructura y depósitos de clientes a Grinex poco después de las acciones de aplicación de la ley de marzo. Además, se dice que Garantex trabajó con los clientes afectados para recuperar el acceso a sus cuentas utilizando un stablecoin respaldado por rublo llamado Token A7A5, que es emitido por una empresa kirguaja llamada Old Vector. El creador del token es A7 LLC. Según un informe de Elliptic, A7A5 se ha utilizado para transferir no menos de $ 1 mil millones por día, con el valor agregado de las transferencias A7A5 fijadas en $ 41.2 mil millones. En total, se estima que Grinex ha facilitado la transferencia de miles de millones de dólares en transacciones de criptomonedas en los pocos meses que ha estado operativo. «Garantex también ha brindado servicios de cuentas e intercambios a actores asociados con la pandilla de ransomware Ryuk», dijo la agencia. «Ekaterina Zhdanova, un prolífico lavado de dinero, intercambió más de $ 2 millones en Bitcoin por Tether (USDT) a través de Garantex». Los fondos salientes de Garantex desde septiembre de 2024 hasta mayo de 2025 Zhdanova fueron sancionados previamente por los Estados Unidos en noviembre de 2023 para lavar la moneda virtual para las élites del país y las tripulaciones cibernéticas, incluido Ryuk. «Los altos ejecutivos de Garantex han apoyado su capacidad para permitir la evasión del delito cibernético y las sanciones al adquirir infraestructura informática para Garantex, registrar sus marcas registradas y participar en los esfuerzos de desarrollo empresarial para hacer que sus actividades parezcan legítimas», agregó el Tesoro. «La red de empresas asociadas de Garantex también le ha permitido mover dinero, incluidos los fondos ilícitos, fuera de Rusia». El Departamento de Estado de los Estados Unidos ha anunciado una recompensa de $ 5 millones por información que conduce al arresto de Serda y $ 1 millón por información sobre otros líderes clave de Garantex. Vale la pena señalar que A7 fue sancionado por el Reino Unido en mayo de 2025 y por la Unión Europea el mes pasado. «El derribo multinacional de marzo de 2025 no detuvo estas actividades», dijo TRM Labs. «En cambio, el liderazgo de Garantex activó rápidamente un plan de contingencia que parece haber estado en su lugar durante meses». «La integración de A7A5 en Grinex representa solo el capítulo más reciente en el papel de larga data de Garantex en las finanzas ilícitas. Tanto antes como después de su designación por el Tesoro de los Estados Unidos, Garantex operaba como un conducto clave para el lavado de ransomware, las transacciones de mercado de Darknet, la evasión de sanciones y el movimiento de los fondos a través de redes financieras rusas de alto riesgo». La nueva ola de sanciones se produce cuando el Departamento de Justicia de los Estados Unidos (DOJ) reveló seis órdenes de selección que autorizan la incautación de más de $ 2.8 millones en criptomonedas, $ 70,000 en efectivo y un vehículo de lujo. La criptomoneda, dijo el Departamento de Justicia, fue incautada de una billetera de criptomonedas controlada por Ianis Aleksandrovich Antropenko, quien ha sido acusado en los Estados Unidos por supuestamente usar ransomware Zeppelin para atacar a personas, empresas y organizaciones de todo el mundo. «La criptomoneda y otros activos son los ingresos de (o participaron en el lavado de la actividad de ransomware», según el Departamento de Justicia. «Esos activos se lavaron de varias maneras, incluso mediante el uso del chipmixer del servicio de mezcla de criptomonedas, que se eliminó en una operación internacional coordinada en 2023. Antropenko también lavó la criptomoneda al intercambiar criptomonedas por efectivo y depositando el efectivo en depósitos de efectivo estructurados». En un desarrollo relacionado, más de $ 300 millones en activos de criptomonedas vinculados al delito cibernético y los esquemas de fraude, incluidas las estafas de cebo romántico (también conocido como Butchering), se han congelado como parte de un esfuerzo continuo para identificar e interrumpir las redes criminales.

Aug 14, 2025Rravie Lakshmananserver Security / Vulnerabilidad múltiples implementaciones HTTP / 2 se han encontrado susceptibles a una nueva técnica de ataque llamada MadeYoureset que podría explorarse para realizar poderosos ataques de negación de servicio (DOS). «MadeYoureset omite el límite típico impuesto al servidor de 100 solicitudes HTTP/2 concurrentes por conexión TCP de un cliente. Este límite está destinado a mitigar los ataques de DOS restringiendo el número de solicitudes simultáneas que un cliente puede enviar», los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel. «Con MadeYoureset, un atacante puede enviar miles de solicitudes, creando una condición de denegación de servicio para usuarios legítimos y, en algunas implementaciones de proveedores, se convierte en bloqueos fuera de memoria». A la vulnerabilidad se le ha asignado el identificador CVE genérico, CVE-2025-8671, aunque el problema afecta a varios productos, incluidos Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163). MadeYoureset es el último defecto en HTTP/2 después de un restablecimiento rápido (CVE-2023-444487) y la inundación de continuación HTTP/2 que puede ser potencialmente armada para organizar ataques DOS a gran escala. Al igual que los otros dos ataques aprovechan el marco RST_STREAM y los marcos de continuación, respectivamente, en el protocolo HTTP/2 para lograr el ataque, MadeYoureset se basa en un reinicio rápido y su mitigación, lo que limita el número de flujos que un cliente puede cancelar usando RST_STREAM. Específicamente, aprovecha el hecho de que el marco RST_STREAM se usa tanto para la cancelación iniciada por el cliente como para los errores de flujo de señalización. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de manera inesperada, lo que lleva al servidor a restablecer la transmisión emitiendo un RST_STREAM. «Para que MadeYoureset funcione, la transmisión debe comenzar con una solicitud válida en la que el servidor comience a trabajar, luego activar un error de transmisión para que el servidor emita RST_STREAM mientras el backend continúa calculando la respuesta», explicó Bar Nahum. «Al elaborar ciertos marcos de control no válidos o violar la secuenciación del protocolo en el momento justo, podemos hacer que el servidor envíe rst_stream para una secuencia que ya tenía una solicitud válida». Las seis primitivas que hacen que el servidor envíe los marcos rst_stream incluyen – window_update marco con un incremento del marco de 0prioridad cuya longitud no es 5 (la única longitud válida para él) marco de prioridad que hace que un flujo dependiente de sí mismo sea un marco de secuencia de flujo en sí mismo con el marco de la ventana de la ventana que se envía en sí mismo después del cliente ha cerrado el stream (el stream de la ventana). El cliente ha cerrado la transmisión (a través del indicador End_Stream) Este ataque es notable no menos importante porque obvia la necesidad de que un atacante envíe un marco RST_STREAM, sin pasar por completo las mitigaciones de reinicio rápido, y también logra el mismo impacto que este último. En un aviso, el Centro de Coordinación CERT (CERT/CC) dijo que MadeYoureset explota un desajuste causado por los restos de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web del mundo real, lo que resulta en el agotamiento de los recursos, algo que un atacante puede explotar para inducir un ataque DOS. «El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del abuso moderno de protocolo», dijo Imperva. «Como HTTP/2 sigue siendo una base de la infraestructura web, protegiéndola contra ataques sutiles y compatibles con especificaciones como MadeYoureset es más crítico que nunca». HTTP/1.1 debe morir La divulgación de MadeYoureset viene cuando la firma de seguridad de aplicaciones Portswigger detalló novedosos ataques HTTP/1.1 Desync (también conocido como contrabando de solicitudes HTTP), incluida una variante de Cl.0 llamada 0.CL, exponiendo millones de sitios web a la adquisición hostil. Akamai (CVE-2025-32094) y Cloudflare (CVE-2025-4366) han abordado los problemas. El contrabando de solicitudes HTTP es una explotación de seguridad que afecta el protocolo de la capa de aplicación que abusa de la inconsistencia en el análisis de las solicitudes HTTP que no cumplen con RFC por los servidores front-end y de fondo, lo que permite a un atacante «pasar de contrarrestar» una solicitud y medidas de seguridad de lado. «HTTP/1.1 tiene un defecto fatal: los atacantes pueden crear una ambigüedad extrema sobre dónde termina una solicitud, y la siguiente solicitud comienza», dijo James Kettle de Portswigger. «HTTP/2+ elimina esta ambigüedad, haciendo que los ataques de desync sea prácticamente imposible. Sin embargo, simplemente habilitar HTTP/2 en su servidor Edge es insuficiente; debe usarse para la conexión aguas arriba entre su proxy inverso y servidor de origen».

Aug 14, 2025Rravie Lakshmanancryptomoneda / Crimen financiero Google dijo que está implementando una nueva política que requiere que los desarrolladores de intercambios de criptomonedas y billeteras obtengan licencias gubernamentales antes de publicar aplicaciones en 15 jurisdicciones para «garantizar un ecosistema seguro y cumplido para los usuarios». La política se aplica a mercados como Bahrein, Canadá, Hong Kong, Indonesia, Israel, Japón, Filipinas, Sudáfrica, Corea del Sur, Suiza, Tailandia, los Emiratos Árabes Unidos, el Reino Unido, los Estados Unidos y la Unión Europea. Los cambios no se aplican a las billeteras no custodiales. Esto significa que los desarrolladores que publiquen las aplicaciones de intercambio de criptomonedas y billeteras deben mantener las licencias apropiadas o estar registrados con autoridades relevantes como la Autoridad de Conducta Financiera (FCA) o la Red de Control de Delitos Financieros (FINCEN), o autorizados como un proveedor de servicios cripto-asignación (CASP) bajo los mercados en regulación de los mercados de los mercados (MICA) antes de la distribución. «Si su ubicación específica no está en la lista, puede continuar publicando intercambios de criptomonedas y billeteras de software. Sin embargo, debido al panorama regulatorio en rápida evolución en todo el mundo, se espera que los desarrolladores obtengan requisitos de licencia adicionales según las leyes locales», dijo el gigante tecnológico. Google señaló que los desarrolladores tienen que declarar en la sección de contenido de la aplicación que su aplicación es un intercambio de criptomonedas y/o una billetera de software en la declaración de características financieras. Además, la compañía dijo que puede solicitar a los desarrolladores que proporcionen más información sobre su cumplimiento en una jurisdicción dada que no está cubierta en la lista antes mencionada. Se insta a los desarrolladores que no tienen la información de registro o licencia requerida para ciertas ubicaciones a eliminar las aplicaciones de esos países/regiones dirigidos. La divulgación se produce cuando la Oficina Federal de Investigación de los Estados Unidos (FBI) emitió una advertencia de alerta actualizada sobre las estafas de criptomonedas en las que las empresas afirman falsamente para ayudar a las víctimas a recuperar sus fondos robados para defraudarlos aún más. Se han observado que los estafadores se hacen pasar por abogados que representan firmas de abogados ficticios, que se acercan a las víctimas de estafas en las redes sociales y otras plataformas de mensajería para ayudar con la recuperación de fondos, solo para engañarlos por segunda vez bajo el pretexto de recibir su información del FBI, la Oficina de Protección Financiera del Consumidor (CFPB) u otra agencia gubernamental. «Entre febrero de 2023 y febrero de 2024, las víctimas de estafadores de criptomonedas que fueron explotadas por firmas de abogados ficticios informaron que las pérdidas por un total de más de $ 9.9 millones», dijo el FBI en una alerta en junio pasado. El FBI también enumeró una serie de posibles banderas rojas que se aconseja a los usuarios que busquen que puedan indicar una estafa potencial: suplantación de entidades gubernamentales o abogados reales referencias referencias a un gobierno ficticio o entidades reguladoras que solicitan pago en criptomonedas o tarjetas de obsequios prepagos (el gobierno de los Estados Unidos no solicita el pago de los servicios de la ley que se proporcionan) que tienen conocimiento de los montos exactos y los datos de transfiers anteriores y los terceros y el tercer lugar a los victorias. Los fondos estafados que indican que la víctima estaba en una lista de víctimas de estafadores afiliadas al gobierno que remiten a las víctimas a un «bufete de abogados de recuperación de criptomonedas» que indica que los fondos de las víctimas se encuentran en una cuenta mantenida en un banco extranjero y les indican a que registren una cuenta en ese banco que coloca a las víctimas en un chat grupal en WhatsApp, o otras solicitudes de mensajería, por supuesto que la seguridad de los clientes solicita un pago de la compañía de pagos a un bancario por la compañía de operaciones de la compañía de seguridad para mantener la compañía de pago de la empresa de seguridad y otras solicitudes de seguridad. Credenciales o una licencia «Tenga cuidado con las firmas de abogados que se comunican con usted inesperadamente, especialmente si no ha informado el delito a ninguna agencia de aplicación de la ley o de protección civil», dijo el FBI, instando a los ciudadanos a ejercer la debida diligencia y adoptar un modelo de confianza cero. «Solicite verificación o documentación de video o una foto de su licencia de ley. Solicite la verificación del empleo para cualquier persona que haga trabajar para el gobierno o la aplicación de la ley de los Estados Unidos».

Aug 13, 2025Ravie Lakshmananvulnerabilidad / Software Security Zoom y Xerox han abordado fallas críticas de seguridad en los clientes de Zoom para Windows y FreeFlow Core que podrían permitir la escalada de privilegios y la ejecución de código remoto. La vulnerabilidad que afecta a los clientes de Zoom para Windows, rastreados como CVE-2025-49457 (puntaje CVSS: 9.6), se relaciona con un caso de una ruta de búsqueda no confiable que podría allanar el camino para una escalada privilegiada. «La ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red», dijo Zoom en un boletín de seguridad el martes. El problema, informado por su propio equipo de seguridad ofensivo, afecta los siguientes productos: Zoom Workplace para Windows antes de la versión 6.3.10 Zoom Workplace VDI para Windows antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12) Las habitaciones de zoom para Windows antes de la versión 6.3.10 Zoom Rooms Controller para Windows antes de la versión 6.3.10 Zoom se reunen con SDK para Windows antes de la versión 6.3.10 La revelación de múltiples vulnerabilidades se ha descrito vulnerabilidades vulnerneracidades se ha descrito a vulnerabilidades. el más severo de los cuales podría dar lugar a la ejecución de código remoto. Los problemas, que se han abordado en la versión 8.0.4, incluyen-CVE-2025-8355 (puntaje CVSS: 7.5)-Vulnerabilidad de inyección de entidad externa XML (xxe) que conduce a falsificaciones de solicitudes del lado del servidor (SSRF) CVE-2025-8356 (puntuación CVSS: 9.8)-Vulnerabilidad de Código Remoto Vulnerabilidades a vulnerabilidades remotas a vulnerabilidades de Código Remoto «Vulnerabilidades de vulnerabilidades de vulnerabilidades Remotas son vulnerabilidades de vulnerabilidades remotas». Explotación y si es explotada, podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado, robe datos confidenciales o intente moverse lateralmente a un entorno corporativo determinado para continuar su ataque «, dijo Horizon3.ai.

Aug 12, 2025Ravie Lakshmananmalware / Container Security New Research ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año después del descubrimiento del incidente. Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes base infectadas, propagando efectivamente la infección aún más de manera transitiva, dijo Binarly Research en un informe compartido con Hacker News. La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software. El evento de la cadena de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la alarma en una puerta trasera incrustada dentro de las versiones de XZ Utils 5.6.0 y 5.6.1. Un análisis posterior del código malicioso y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un acceso remoto no autorizado y habilitar la ejecución de cargas útiles arbitrarias a través de SSH. Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal manera que se activó cuando un cliente interactúa con el servidor SSH infectado. Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo de IFUNC del GLIBC, el código malicioso permitió que un atacante que poseía una clave privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota, «explicó binarly. Responsabilidades, señalización de la naturaleza meticulosa del ataque. de 12 imágenes de Docker de Debian que contienen una de las imágenes de XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas. Dejar las imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red con la red conllevan un riesgo de seguridad significativo, a pesar de los criterios requeridos para la explotación exitosa de la red al dispositivo infectado con el servicio SSH en ejecución «, el incidente de la puerta trasera XZ demuestra que incluso el código malicioso de breve puede permanecer sin tener en cuenta en el contenedor oficial durante un tiempo largo. La forma en que estos artefactos pueden persistir y propagar silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de versión «.

AUG 11, 2025RAVIE LAKSHMANANECRITION / SEGURIDAD DE NETA Los investigadores de seguridad cibernética han descubierto un nuevo conjunto de problemas de seguridad en el protocolo de comunicaciones de radio troncal terrestre (TETRA) que exhibe el mecanismo de cifrado de extremo de extremo a fin de la propietario (E2EE) que exhibe el sistema a los ataques de reproducción de fines de extremo. Los detalles de las vulnerabilidades, denominado 2tetra: 2burst, se presentaron en la Conferencia de Seguridad Black Hat USA la semana pasada por los investigadores de Midnight Blue Carlo Meijer, Wouter Bokslag y Jos Wetzels. TETRA es un estándar de radio móvil europeo que es ampliamente utilizado por los operadores de la aplicación de la ley, militares, transporte, servicios públicos y de infraestructura crítica. Fue desarrollado por el European Telecommunications Standards Institute (ETSI). Aligue cuatro algoritmos de cifrado: Tea1, Tea2, Tea3 y Tea4. La divulgación se produce poco más de dos años después de que la compañía de seguridad cibernética con sede en los Países Bajos descubrió un conjunto de vulnerabilidades de seguridad en Tetra Standard llamado Tetra: Burst, contando lo que se describió como una «puerta trasera intencional» que podría explotarse para fugas de información sensible a fugas. Los problemas recién descubiertos se relacionan con un caso de inyección de paquetes en Tetra, así como con una solución insuficiente para CVE-2022-24401, uno de los cinco problemas de tetra: ráfaga, para evitar ataques de recuperación de llave. Los problemas identificados se enumeran a continuación: CVE-2025-52940-TETRA Las corrientes de voz encriptadas de extremo a extremo son vulnerables al ataque de reproducción. Además, un atacante sin conocimiento de la clave puede inyectar corrientes de voz arbitrarias, que se reproducen indistinguemente del tráfico auténtico por los receptores de llamadas legítimas. CVE-2025-52941-Algoritmo de cifrado de extremo a extremo TETRA ID 135 se refiere a una implementación AES-128 intencionalmente debilitada que tiene su entropía de clave de tráfico efectiva reducida de 128 a 56 bits, lo que la hace vulnerable a los ataques con fuerza bruta. CVE-2025-52942-Los mensajes TETRA SDS cifrados de extremo a extremo cuentan con protección de reproducción, lo que permite una repetición arbitraria de mensajes hacia humanos o máquinas. CVE-2025-52943-Las redes TETRA que admiten múltiples algoritmos de cifrado de interfaz de aire son vulnerables a los ataques de recuperación clave ya que la clave de red SCK/CCK es idéntica para todos los algoritmos compatibles. Cuando se admite TEA1, se puede usar una tecla TEA1 fácilmente recuperada (CVE-2022-24402) para descifrar o inyectar el tráfico Tea2 o Tea3 en la red. CVE-2025-52944: el protocolo TETRA carece de autenticación de mensajes y, por lo tanto, permite la inyección de mensajes arbitrarios como la voz y los datos. La solución de ETSI para CVE-2022-24401 es ineficaz en la prevención de los ataques de recuperación de llave (sin CVE, asignado un identificador de marcador de posición MBPH-2025-001) Midnight Blue dijo que el impacto de 2Tetra: 2Burst depende de los casos de uso y los aspectos de configuración de cada tetra en particular, y que las redes que usan tetra en una capacidad de datos de datos están particularmente de la capacidad de los datos de los datos. Ataques de inyección, lo que puede permitir a los atacantes interceptar comunicaciones por radio e inyectar tráfico de datos maliciosos. «Los escenarios de reproducción de voz o inyección (CVE-2025-52940) pueden causar confusión entre los usuarios legítimos, que pueden usarse como un factor amplificador en un ataque a mayor escala», dijo la compañía. «Los usuarios de Tetra E2EE (también aquellos que no usan Sepura E2EE incrustado) deben validar si pueden estar utilizando la variante debilitada de 56 bits (CVE-2025-52941)». «La inyección de tráfico de enlace descendente suele ser factible utilizando el tráfico de texto sin formato, ya que descubrimos que las radios aceptarán y procesarán el tráfico de enlace descendente sin cifrar incluso en las redes cifradas. Para la inyección de tráfico de enlace ascendente, la llave de tecla debe recuperarse». No hay evidencia de que estas vulnerabilidades sean explotadas en la naturaleza. Dicho esto, no hay parches que aborden las deficiencias, con la excepción de MBPH-2025-001, para los cuales se espera que se lance una solución. Las mitigaciones para otros defectos se enumeran a continuación: CVE-2025-52940, CVE-2025-52942-Migra a la solución E2EE scrutinizada y segura CVE-2025-52941-Migra a la variante E2EE no acumulada CVE-2025-52943-Dispatía Tea1 y rotación All Aie Keys CVE-2025-2025-2025- Uso de TETRA en una capacidad de carga de datos: agregue la capa TLS/VPN sobre TETRA «Si opera o usa una red TETRA, ciertamente se ve afectado por CVE-2025-52944, en el que demostramos que es posible inyectar tráfico malicioso en una red Tetra, incluso con autenticación y/o encerrado», dijo Midnight Blue. «Además, CVE-2022-24401 probablemente lo afecte, ya que permite a los adversarios recolectar una llave de teclado para incumplimiento de confidencialidad o integridad. Si opera una red de múltiples cifras, CVE-2025-52943 plantea un riesgo de seguridad crítico». En una declaración compartida con Wired, ETSI dijo que el mecanismo E2EE utilizado en las radios basadas en TETRA no es parte del estándar ETSI, y agregó que fue producido por el Grupo de Seguridad y Prevención de Fraude de la Asociación de Comunicaciones Críticas (TCCA) (SFPG). ETSI también señaló que los compradores de radios con sede en Tetra son libres de implementar otras soluciones para E2EE en sus radios. The findings also coincide with the discovery of three flaws in the Sepura SC20 series of mobile TETRA radios that allow attackers with physical access to the device to achieve unauthorized code execution – CVE-2025-52945 – Defective file management restrictions CVE-2025-8458 – Insufficient key entropy for SD card encryption Exfiltration of all TETRA and TETRA E2EE key materials with the Se espera que la excepción de la clave específica del dispositivo (sin CVE, asignada un identificador de marcador de posición MBPH-2025-003) para CVE-2025-52945 y CVE-2025-8458 se pongan a disposición en el tercer trimestre de 2025, lo que requiere que los usuarios se aconsejan que implementen políticas de administración de tetra mejoradas mejoradas. MBPH-2025-003, por otro lado, no puede remediarse debido a las limitaciones arquitectónicas. «Las vulnerabilidades permiten a un atacante obtener la ejecución del código en un dispositivo Sepura Gen 3», dijo la compañía. «Los escenarios de ataque con CVE-2025-8458 implican la ejecución persistente del código a través del acceso a la tarjeta SD de un dispositivo. El abuso de CVE-2025-52945 es aún más directo, ya que solo requiere un acceso breve al conector PEI del dispositivo». «A partir de la premisa de la ejecución del código, los múltiples escenarios de ataque son viables, como la exfiltración de materiales clave TETRA (MBPH-2025-003) o la implantación de una puerta trasera persistente en el firmware de radio. Esto conduce a la pérdida de confidencialidad e integridad de las comunicaciones de Tetra».

Aug 10, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Una nueva técnica de ataque podría ser armado para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de negación de servicio distribuidos de poder (DDOS). El enfoque ha sido nombrado en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy. «Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de referencia de URL para apuntar a DCS a un servidor de víctimas para abrumarlo», dijeron Yair y Morag en un informe compartido con las noticias de los hackers. «Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante aprovechar el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes recursos y tasas de carga. Todo sin comprar nada y sin dejar una huella trazable». Al transformar DCS en un bot DDOS sin la necesidad de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arma. El flujo de ataque es el siguiente: el atacante envía una llamada RPC a DCS que los desencadena a convertirse en clientes CLDAP DCS Envía la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de referencia que refiere el servidor LDAP del atacante del atacante. Responde con una respuesta de referencia LDAP que contiene una larga lista de URL de referencia LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP DCS envía una consulta LDAP en ese puerto, lo que provoca el servidor web que puede servir a través del puerto para cerrar el TCP «Una vez que la conexión TCP se atribuye, los DCS continúan con la siguiente derivación en la lista de la misma lista a la misma servidor a la misma servidor, lo que dice el mismo servidor.», Dicho la conexión. «. «Y este comportamiento se repite hasta que todas las URL en la lista de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS». Lo que hace que Win-DDOS sea significativo es que tiene un alto ancho de banda y no requiere un atacante para comprar una infraestructura dedicada. Tampoco les requiere violar ningún dispositivo, lo que les permite volar bajo el radar. Un análisis posterior del proceso de referencia del código del cliente LDAP ha revelado que es posible activar un bloqueo de LSASS, reiniciar o una pantalla azul de muerte (BSOD) enviando largas listas de referencia a DC al aprovechar el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito. Además de eso, se ha encontrado que el código de transporte agnóstico que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden bloquear los controladores de dominio sin la necesidad de autenticación, y una falla de DOS adicional que proporciona a cualquier usuario autenticado con la capacidad de bloquear un controlador de dominio o un computadora de Windows en un dominio. The identified shortcomings are listed below – CVE-2025-26673 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Lightweight Directory Access Protocol (LDAP) allows an unauthorized attacker to deny service over a network (Fixed in May 2025) CVE-2025-32724 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Local Security Authority El servicio del subsistema (LSASS) permite a un atacante no autorizado negar el servicio a través de una red (fijada en junio de 2025) CVE-2025-49716 (puntaje CVSS: 7.5)-Consumo de recursos no controlado en Windows Netlogon permite a un atacante no autorizado a negar el servicio a través de una red (fijo en julio 2025) CVE-2025-4972 (CVSS CVSS: 5. El consumo de recursos no controlado en los componentes de la bgas de impresión de Windows permite a un atacante autorizado negar el servicio a través de una red adyacente (fijada en julio de 2025), como las vulnerabilidad LDAPNightMare (CVE-2024-49113) detalladas a principios de enero, los últimos hallazgos muestran que existen lugares ciegos en Windows a las que podrían ser apuntadas y explojadas de operaciones empresariales. «Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes bloquear estos sistemas de forma remota si son accesibles públicamente, y también muestran cómo los atacantes con un acceso mínimo a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada», dijeron los investigadores. «Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a salvo de abuso a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas».