Etiqueta: noticias cibernéticas Página 5 de 8

30 de marzo de 2024Sala de prensaMalware/Criptomonedas Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigidos a usuarios de Apple macOS. Los continuos ataques de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, dijo Jamf Threat Labs en un informe publicado el viernes. Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirven al malware. «Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Sólo se puede acceder a través de un enlace patrocinado generado , presumiblemente para evadir la detección». El archivo de imagen de disco descargado del sitio web falsificado («ArcSetup.dmg») entrega Atomic Stealer, que se sabe que solicita a los usuarios que ingresen sus contraseñas del sistema a través de un mensaje falso y, en última instancia, facilita el robo de información. Jamf dijo También descubrió un sitio web falso llamado Meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas. Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada AppleScript para llevar a cabo sus acciones maliciosas. Se dice que los ataques que aprovechan este malware se acercaron a las víctimas con el pretexto de discutir oportunidades laborales y entrevistarlas para un podcast, pidiéndoles posteriormente que descargaran una aplicación de Meethub.[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión. «Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes», dijeron los investigadores. «Aquellos en la industria deben ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria». El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones. Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema. «Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk. El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de técnicas sofisticadas antivirtualización al activar un interruptor de apagado autodestructivo para evadir la detección. En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan el cargador FakeBat (también conocido como EugenLoader) y otros ladrones de información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaIngeniería inversa/seguridad RFID Las vulnerabilidades de seguridad descubiertas en las cerraduras electrónicas RFID Saflok de Dormakaba utilizadas en hoteles podrían ser utilizadas como armas por actores de amenazas para falsificar tarjetas de acceso y entrar sigilosamente en habitaciones cerradas. Las deficiencias han sido denominadas colectivamente Unsaflok por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell y Will Caruana. Se informaron a la empresa con sede en Zurich en septiembre de 2022. «Cuando se combinan, las debilidades identificadas permiten a un atacante desbloquear todas las habitaciones de un hotel utilizando un solo par de tarjetas de acceso falsificadas», dijeron. Se han retenido todos los detalles técnicos sobre las vulnerabilidades, considerando el impacto potencial, y se espera que se hagan públicos en el futuro. Los problemas afectan a más de tres millones de cerraduras de hoteles repartidas en 13.000 propiedades en 131 países. Esto incluye los modelos Saflok MT y los dispositivos de las series Quantum, RT, Saffire y Confidant, que se utilizan en combinación con el software de gestión System 6000, Ambiance y Community. Se estima que Dormakaba ha actualizado o reemplazado el 36% de las cerraduras afectadas en marzo de 2024 como parte de un proceso de implementación que comenzó en noviembre de 2023. Algunas de las cerraduras vulnerables han estado en uso desde 1988. «Un atacante solo necesita leer una tarjeta de acceso de la propiedad para realizar el ataque contra cualquier puerta de la propiedad», dijeron los investigadores. «Esta tarjeta de acceso puede ser de su propia habitación, o incluso una tarjeta de acceso caducada extraída de la caja de recogida de pago exprés». Las tarjetas falsificadas se pueden crear utilizando cualquier tarjeta MIFARE Classic o cualquier herramienta de lectura y escritura RFID disponible comercialmente que sea capaz de escribir datos en estas tarjetas. Alternativamente, se pueden usar Proxmark3, Flipper Zero o incluso un teléfono Android con capacidad NFC en lugar de las tarjetas. En declaraciones a Andy Greenberg de WIRED, los investigadores dijeron que el ataque implica leer un determinado código de esa tarjeta y crear un par de tarjetas de acceso falsificadas utilizando el método antes mencionado: una para reprogramar los datos de la cerradura y otra para abrirla descifrando la función de derivación de claves de Dormakaba. (KDF) sistema de cifrado. «Dos golpes rápidos y abrimos la puerta», dijo Wouters. Otro paso crucial implica aplicar ingeniería inversa a los dispositivos de programación de cerraduras distribuidos por Dormakaba a los hoteles y al software de recepción para administrar las tarjetas de acceso, lo que permitió a los investigadores falsificar una llave maestra que pudiera usarse para abrir cualquier habitación. Actualmente no hay ningún caso confirmado de explotación de estos problemas en la naturaleza, aunque los investigadores no descartan la posibilidad de que otras personas hayan descubierto o utilizado las vulnerabilidades. «Es posible detectar ciertos ataques auditando los registros de entrada/salida de la cerradura», agregaron. «El personal del hotel puede auditar esto a través del dispositivo HH6 y buscar registros de entrada/salida sospechosos. Debido a la vulnerabilidad, los registros de entrada/salida podrían atribuirse a la tarjeta de acceso o al miembro del personal incorrecto». La divulgación se produce tras el descubrimiento de tres vulnerabilidades de seguridad críticas en los dispositivos de registro electrónico (ELD) de uso común en la industria del transporte que podrían utilizarse como armas para permitir el control no autorizado de los sistemas de los vehículos y manipular los datos y las operaciones de los vehículos de forma arbitraria. Aún más preocupante es que una de las fallas podría allanar el camino para la aparición de un gusano que se autopropaga de camión a camión, lo que podría provocar interrupciones generalizadas en las flotas comerciales y provocar graves consecuencias para la seguridad. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de redacción Ataque a la cadena de suministro/Inteligencia de amenazas Los mantenedores del repositorio Python Package Index (PyPI) suspendieron brevemente los registros de nuevos usuarios luego de una afluencia de proyectos maliciosos cargados como parte de una campaña de typosquatting. Dijo que «la creación de nuevos proyectos y el registro de nuevos usuarios» se detuvieron temporalmente para mitigar lo que dijo que era una «campaña de carga de malware». El incidente se resolvió 10 horas después, el 28 de marzo de 2024, a las 12:56 pm UTC. La firma de seguridad de la cadena de suministro de software Checkmarx dijo que los actores de amenazas no identificados detrás de la inundación del repositorio apuntaban a los desarrolladores con versiones con errores tipográficos de paquetes populares. «Este es un ataque de múltiples etapas y la carga maliciosa tiene como objetivo robar billeteras criptográficas, datos confidenciales de los navegadores (cookies, datos de extensiones, etc.) y varias credenciales», dijeron los investigadores Yehuda Gelb, Jossef Harush Kadouri y Tzachi Zornstain. «Además, la carga maliciosa empleó un mecanismo de persistencia para sobrevivir a los reinicios». Los hallazgos también fueron corroborados de forma independiente por Mend.io, que señaló que detectó más de 100 paquetes maliciosos dirigidos a bibliotecas de aprendizaje automático (ML) como Pytorch, Matplotlib y Selenium. El desarrollo se produce cuando los repositorios de código abierto se están convirtiendo cada vez más en un vector de ataque para que los actores de amenazas se infiltren en entornos empresariales. Typosquatting es una técnica de ataque bien documentada en la que los adversarios cargan paquetes con nombres que se parecen mucho a sus homólogos legítimos (por ejemplo, Matplotlib frente a Matplotlig o tensorflow frente a tensourflow) para engañar a usuarios desprevenidos para que los descarguen. Se descubrió que estas variantes engañosas, que suman un total de más de 500 paquetes por Check Point, se cargaron desde una cuenta única a partir del 26 de marzo de 2024, lo que sugiere que todo el proceso fue automatizado. «La naturaleza descentralizada de las cargas, con cada paquete atribuido a un usuario diferente, complica los esfuerzos para identificar estas entradas maliciosas», dijo la compañía israelí de ciberseguridad. La firma de ciberseguridad Phylum, que también ha estado rastreando la misma campaña, dijo que los atacantes publicaron: 67 variaciones de requisitos 38 variaciones de Matplotlib 36 variaciones de solicitudes 35 variaciones de colorama 29 variaciones de tensorflow 28 variaciones de selenium 26 variaciones de BeautifulSoup 26 variaciones de PyTorch 20 variaciones de almohada 15 variaciones de asyncio Los paquetes, por su parte, comprueban si el sistema operativo del instalador era Windows y, de ser así, proceden a descargar y ejecutar una carga útil ofuscada recuperada de un dominio controlado por el actor («funcaptcha[.]ru»). El malware funciona como un ladrón, filtrando archivos, tokens de Discord, así como datos de navegadores web y billeteras de criptomonedas al mismo servidor. Además, intenta descargar un script de Python («hvnc.py») al sistema operativo Windows. Carpeta de inicio para la persistencia. El desarrollo ilustra una vez más el creciente riesgo que plantean los ataques a la cadena de suministro de software, por lo que es crucial que los desarrolladores examinen cada componente de terceros para garantizar que proteja contra amenazas potenciales. Esta no es la primera vez que PyPI ha recurrido a En mayo de 2023, deshabilitó temporalmente los registros de usuarios después de descubrir que «el volumen de usuarios maliciosos y proyectos maliciosos creados en el índice durante la semana pasada ha superado nuestra capacidad de responder de manera oportuna». PyPI suspendió los registros de nuevos usuarios por segunda vez el año pasado el 27 de diciembre por razones similares. Posteriormente se levantó el 2 de enero de 2024. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

28 de marzo de 2024Sala de prensaTecnología/Privacidad de datos En junio de 2017, un estudio de más de 3000 estudiantes del Instituto Tecnológico de Massachusetts (MIT) publicado por la Oficina Nacional de Investigación Económica (NBER) encontró que el 98% de ellos estaban dispuestos a donar las direcciones de correo electrónico de sus amigos a cambio de pizza gratis. «Mientras que las personas dicen que les importa la privacidad, están dispuestas a ceder datos privados con bastante facilidad cuando se les incentiva a hacerlo», dice la investigación, señalando lo que se llama la paradoja de la privacidad. Ahora, casi siete años después, Telegram ha introducido una nueva función que ofrece a algunos usuarios una membresía premium gratuita a cambio de permitir que la popular aplicación de mensajería utilice sus números de teléfono como retransmisión para enviar contraseñas de un solo uso (OTP) a otros usuarios que están intentando iniciar sesión en la plataforma. La función, llamada Peer-to-Peer Login (P2PL), se está probando actualmente en países seleccionados para usuarios de Telegram en Android. Tginfo lo detectó por primera vez en febrero de 2024 (a través de @AssembleDebug). Según los Términos de servicio de Telegram, el número de teléfono se utilizará para enviar no más de 150 mensajes SMS OTP (incluidos SMS internacionales) por mes, lo que generará cargos por parte del operador de telefonía móvil o del proveedor de servicios del usuario. Dicho esto, la popular aplicación de mensajería señala que «no puede evitar que el destinatario de OTP vea su número de teléfono al recibir su SMS» y que «no será responsable de ningún inconveniente, acoso o daño resultante de acciones no deseadas, no autorizadas o ilegales realizadas». por usuarios que tuvieron conocimiento de su número de teléfono a través de P2PL.» Peor aún, el mecanismo, que se basa en gran medida en un sistema de honor, no prohíbe a los usuarios contactar a extraños a cuyo número se envió el SMS de autenticación OTP, y viceversa, lo que podría generar un aumento en las llamadas y mensajes de texto no deseados. Telegram dijo que se reserva el derecho de cancelar unilateralmente una cuenta del programa P2PL si se descubre que los participantes comparten información personal sobre los destinatarios. También advierte a los usuarios que no se comuniquen con ningún destinatario de OTP ni les respondan incluso si les envían mensajes. En marzo de 2024, Telegram tiene más de 900 millones de usuarios activos mensuales. Lanzó el programa de suscripción Premium en junio de 2022, que permite a los usuarios desbloquear funciones adicionales como carga de archivos de 4 GB, descargas más rápidas y pegatinas y reacciones exclusivas. Dado que los servicios en línea todavía dependen de números de teléfono para autenticar a los usuarios, vale la pena tener en cuenta los riesgos de privacidad y seguridad que podrían surgir al participar en el experimento. Meta en la mira legal para interceptar el tráfico de Snapchat El desarrollo se produce cuando documentos judiciales recientemente revelados en los EE. UU. alegan que Meta lanzó un proyecto secreto llamado Ghostbusters para interceptar y descifrar el tráfico de red de personas que usan Snapchat, YouTube y Amazon para ayudarlo a comprender el comportamiento del usuario. y competir mejor con sus rivales. Esto se logró aprovechando aplicaciones personalizadas de un servicio VPN llamado Onavo, que Facebook adquirió en 2013 y cerró en 2019 después de que fuera objeto de escrutinio por usar sus productos para rastrear la actividad web de los usuarios relacionada con sus competidores y pagar en secreto a adolescentes para capturar sus datos. Patrones de navegación en Internet. El esquema de interceptación de datos ha sido descrito como un enfoque de «intermediario», en el que Facebook esencialmente pagaba a personas de entre 13 y 35 años hasta 20 dólares al mes más tarifas de referencia por instalar una aplicación de investigación de mercado y darle un precio elevado. acceso para inspeccionar el tráfico de la red y analizar su uso de Internet. La táctica se basó en la creación de «certificados digitales falsos para hacerse pasar por servidores de análisis confiables de Snapchat, YouTube y Amazon para redirigir y descifrar el tráfico seguro de esas aplicaciones para el análisis estratégico de Facebook». Las aplicaciones se distribuyeron a través de servicios de prueba beta, como Applause, BetaBound y uTest, para ocultar la participación de Facebook. El programa, que luego pasó a conocerse como Panel de acción en la aplicación (IAAP), se ejecutó de 2016 a 2018. Meta, en su respuesta, dijo que no hay delito ni fraude, y que «el propio testigo de Snapchat sobre la publicidad confirmó que Snap no puedo ‘identificar una única venta de anuncios que [it] perdido por el uso de productos de investigación de usuarios por parte de Meta’, no sabe si otros competidores recopilaron información similar y no sabe si alguna de las investigaciones de Meta proporcionó a Meta una ventaja competitiva». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para lee más contenido exclusivo que publicamos.

Source link

27 de marzo de 2024Sala de prensa Inteligencia sobre amenazas/seguridad de red La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad que afecta a Microsoft Sharepoint Server a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa en la naturaleza. La vulnerabilidad, rastreada como CVE-2023-24955 (puntuación CVSS: 7,2), es una falla crítica de ejecución remota de código que permite a un atacante autenticado con privilegios de propietario del sitio ejecutar código arbitrario. «En un ataque basado en red, un atacante autenticado como propietario del sitio podría ejecutar código de forma remota en el servidor SharePoint», dijo Microsoft en un aviso. Microsoft abordó la falla como parte de sus actualizaciones del martes de parches para mayo de 2023. El desarrollo se produce más de dos meses después de que CISA agregara CVE-2023-29357, una falla de escalada de privilegios en SharePoint Server, a su catálogo KEV. Vale la pena señalar que StarLabs SG demostró una cadena de exploits que combina CVE-2023-29357 y CVE-2023-24955 en el concurso de piratería Pwn2Own Vancouver el año pasado, lo que les valió a los investigadores un premio de 100.000 dólares. Dicho esto, actualmente no hay información sobre los ataques que utilizan estas dos vulnerabilidades como armas y los actores de amenazas que pueden estar explotándolas. Microsoft le dijo anteriormente a The Hacker News que «los clientes que han habilitado las actualizaciones automáticas y habilitan la opción ‘Recibir actualizaciones para otros productos de Microsoft’ dentro de su configuración de Windows Update ya están protegidos». Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 16 de abril de 2024 para proteger sus redes contra amenazas activas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

26 de marzo de 2024Sala de prensaEspionaje industrial/Inteligencia de amenazas Los cazadores de amenazas han identificado un paquete sospechoso en el administrador de paquetes NuGet que probablemente esté diseñado para apuntar a desarrolladores que trabajan con herramientas fabricadas por una empresa china que se especializa en la fabricación de equipos industriales y digitales. El paquete en cuestión es SqzrFramework480, que según ReversingLabs se publicó por primera vez el 24 de enero de 2024. Se ha descargado 2999 veces al momento de escribir este artículo. La firma de seguridad de la cadena de suministro de software dijo que no encontró ningún otro paquete que mostrara un comportamiento similar. Sin embargo, teorizó que la campaña probablemente podría usarse para orquestar espionaje industrial en sistemas equipados con cámaras, visión artificial y brazos robóticos. La indicación de que SqzrFramework480 aparentemente está vinculado a una empresa china llamada Bozhon Precision Industry Technology Co., Ltd. proviene del uso de una versión del logotipo de la empresa para el icono del paquete. Fue subido por una cuenta de usuario de Nuget llamada «zhaoyushun1999». Dentro de la biblioteca hay un archivo DLL «SqzrFramework480.dll» que viene con funciones para tomar capturas de pantalla, hacer ping a una dirección IP remota cada 30 segundos hasta que la operación sea exitosa y transmitir las capturas de pantalla a través de un socket creado y conectado a dicha dirección IP. . «Ninguno de estos comportamientos es decididamente malicioso. Sin embargo, en conjunto, hacen saltar las alarmas», afirmó el investigador de seguridad Petar Kirhmajer. «El ping sirve como una comprobación de los latidos del corazón para ver si el servidor de exfiltración está activo». El uso malicioso de sockets para la comunicación y la exfiltración de datos se ha observado anteriormente, como en el caso del paquete npm nodejs_net_server. El motivo exacto detrás del paquete no está claro todavía, aunque es un hecho conocido que los adversarios recurren constantemente a ocultar código nefasto en software aparentemente benigno para comprometer a las víctimas. Una explicación alternativa e inocua podría ser que el paquete fue filtrado por un desarrollador o un tercero que trabaja con la empresa. «También pueden explicar un comportamiento de captura continua de pantalla aparentemente malicioso: podría ser simplemente una forma para que un desarrollador transmita imágenes desde la cámara en el monitor principal a una estación de trabajo», dijo Kirhmajer. Dejando a un lado la ambigüedad que rodea al paquete, los hallazgos subrayan la naturaleza complicada de las amenazas a la cadena de suministro, lo que hace imperativo que los usuarios examinen las bibliotecas antes de descargarlas. «Los repositorios de código abierto como NuGet albergan cada vez más paquetes sospechosos y maliciosos diseñados para atraer a los desarrolladores y engañarlos para que descarguen e incorporen bibliotecas maliciosas y otros módulos en sus procesos de desarrollo», dijo Kirhmajer. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

25 de marzo de 2024Sala de redacciónAtaque a la cadena de suministro/criptomoneda Adversarios no identificados orquestaron una sofisticada campaña de ataque que afectó a varios desarrolladores individuales, así como a la cuenta de la organización de GitHub asociada con Top.gg, un sitio de descubrimiento de bots de Discord. «Los actores de amenazas utilizaron múltiples TTP en este ataque, incluida la apropiación de cuentas a través de cookies de navegador robadas, la contribución de código malicioso con confirmaciones verificadas, la configuración de un espejo Python personalizado y la publicación de paquetes maliciosos en el registro PyPI», dijo Checkmarx en un informe técnico compartido. con Las noticias de los hackers. Se dice que el ataque a la cadena de suministro de software provocó el robo de información confidencial, incluidas contraseñas, credenciales y otros datos valiosos. Algunos aspectos de la campaña fueron revelados previamente a principios de mes por un desarrollador con sede en Egipto llamado Mohammed Dief. Principalmente implicó la creación de un typosquat inteligente del dominio oficial de PyPI conocido como «files.pythonhosted[.]org», dándole el nombre «files.pypihosted[.]org» y usándolo para alojar versiones troyanizadas de paquetes conocidos como colorama. Desde entonces, Cloudflare eliminó el dominio. «Los actores de amenazas tomaron Colorama (una herramienta muy popular con más de 150 millones de descargas mensuales), lo copiaron e insertaron archivos maliciosos código», dijeron los investigadores de Checkmarx. «Luego ocultaron la carga útil dañina dentro de Colorama usando espacio relleno y alojaron esta versión modificada en su espejo falso de dominio typosquatted». Estos paquetes maliciosos luego se propagaron a través de repositorios de GitHub como github[.]com/maleduque/Valorant-Checker y github[.]com/Fronse/League-of-Legends-Checker que contenía un archivo requisitos.txt, que sirve como lista de paquetes de Python que instalará el administrador de paquetes pip. Un repositorio que continúa activo al momento de escribir este artículo es github.[.]com/whiteblackgang12/Discord-Token-Generator, que incluye una referencia a la versión maliciosa de colorama alojada en «files.pypihosted[.]org.» También se modificó como parte de la campaña el archivo requisitos.txt asociado con python-sdk de Top.gg por una cuenta llamada editor-syntax el 20 de febrero de 2024. El problema ha sido abordado por los mantenedores del repositorio. Vale la pena señalarlo. que la cuenta «editor-syntax» es un mantenedor legítimo de la organización Top.gg GitHub y tiene permisos de escritura para los repositorios de Top.gg, lo que indica que el actor de amenazas logró secuestrar la cuenta verificada para cometer una confirmación maliciosa. La cuenta de GitHub de ‘editor-syntax’ probablemente fue secuestrada mediante cookies robadas», señaló Checkmarx. «El atacante obtuvo acceso a las cookies de sesión de la cuenta, lo que le permitió eludir la autenticación y realizar actividades maliciosas utilizando la interfaz de usuario de GitHub. Este método de apropiación de cuentas es particularmente preocupante, ya que no requiere que el atacante conozca la contraseña de la cuenta». Es más, se dice que los actores de amenazas detrás de la campaña impulsaron múltiples cambios en los repositorios fraudulentos en una sola confirmación, alterándolos según hasta 52 archivos en una instancia en un esfuerzo por ocultar los cambios en el archivo requisitos.txt. El malware incrustado en el paquete colorama falsificado activa una secuencia de infección de varias etapas que conduce a la ejecución de código Python desde un servidor remoto, que , a su vez, es capaz de establecer persistencia en el host a través de cambios en el Registro de Windows y robar datos de navegadores web, billeteras criptográficas, tokens de Discord y tokens de sesiones relacionados con Instagram y Telegram. «El malware incluye un componente de ladrón de archivos que busca archivos con palabras clave específicas en sus nombres o extensiones», dijeron los investigadores. «Se dirige a directorios como Escritorio, Descargas, Documentos y Archivos recientes». Los datos capturados finalmente se transfieren a los atacantes a través de servicios anónimos de intercambio de archivos como GoFile y Anonfiles. . Alternativamente, los datos también se envían a la infraestructura del actor de la amenaza mediante solicitudes HTTP, junto con el identificador de hardware o la dirección IP para rastrear la máquina víctima. «Esta campaña es un excelente ejemplo de las tácticas sofisticadas empleadas por actores maliciosos para distribuir malware a través de plataformas confiables como PyPI y GitHub», concluyó el investigador. «Este incidente resalta la importancia de la vigilancia al instalar paquetes y repositorios incluso de fuentes confiables. Es crucial examinar minuciosamente las dependencias, monitorear actividades sospechosas en la red y mantener prácticas de seguridad sólidas para mitigar el riesgo de ser víctima de tales ataques». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

24 de marzo de 2024Sala de prensaInteligencia artificial/espionaje cibernético Se ha observado que el actor de amenazas vinculado a Corea del Norte conocido como Kimsuky (también conocido como Black Banshee, Emerald Sleet o Springtail) está cambiando sus tácticas, aprovechando archivos de ayuda HTML compilada (CHM) como vectores para entregar malware para recolectar datos confidenciales. Se sabe que Kimsuky, activo desde al menos 2012, apunta a entidades ubicadas en Corea del Sur, así como en América del Norte, Asia y Europa. Según Rapid7, las cadenas de ataques han aprovechado documentos de Microsoft Office, archivos ISO y archivos de acceso directo de Windows (LNK) como armas, y el grupo también emplea archivos CHM para implementar malware en hosts comprometidos. La firma de ciberseguridad ha atribuido la actividad a Kimsuky con moderada confianza, citando maniobras similares observadas en el pasado. «Aunque originalmente fueron diseñados para documentación de ayuda, los archivos CHM también han sido explotados con fines maliciosos, como distribuir malware, porque pueden ejecutar JavaScript cuando se abren», afirmó la compañía. El archivo CHM se propaga dentro de un archivo ISO, VHD, ZIP o RAR, al abrirlo se ejecuta un script de Visual Basic (VBScript) para configurar la persistencia y comunicarse con un servidor remoto para buscar una carga útil de la siguiente etapa responsable de recopilar y filtrar. informacion delicada. Rapid7 describió los ataques como continuos y en evolución, dirigidos a organizaciones con sede en Corea del Sur. También identificó una secuencia de infección alternativa que emplea un archivo CHM como punto de partida para eliminar archivos por lotes encargados de recopilar la información y un script de PowerShell para conectarse al servidor C2 y transferir los datos. «El modus operandi y la reutilización de códigos y herramientas muestran que el actor de la amenaza está utilizando y refinando/remodelando activamente sus técnicas y tácticas para recopilar inteligencia de las víctimas», dijo. El desarrollo se produce cuando Symantec, propiedad de Broadcom, reveló que los actores de Kimsuky están distribuyendo malware que se hace pasar por una aplicación de una entidad pública coreana legítima. «Una vez comprometido, el dropper instala un malware de puerta trasera Endoor», dijo Symantec. «Esta amenaza permite a los atacantes recopilar información confidencial de la víctima o instalar malware adicional». Vale la pena señalar que Endoor, con sede en Golang, junto con Troll Stealer (también conocido como TrollAgent), se ha implementado recientemente en relación con ataques cibernéticos dirigidos a usuarios que descargan programas de seguridad del sitio web de una asociación coreana relacionada con la construcción. Los hallazgos también llegan en medio de una investigación iniciada por las Naciones Unidas sobre 58 presuntos ataques cibernéticos llevados a cabo por actores estatales de Corea del Norte entre 2017 y 2023 que generaron 3 mil millones de dólares en ingresos ilegales para ayudarlo a desarrollar aún más su programa de armas nucleares. «Según se informa, el gran volumen de ataques cibernéticos por parte de grupos de piratas informáticos subordinados a la Oficina General de Reconocimiento continuó», dice el informe. «Las tendencias incluyen apuntar a empresas de defensa y cadenas de suministro y, cada vez más, compartir infraestructura y herramientas». La Oficina General de Reconocimiento (RGB) es el principal servicio de inteligencia exterior de Corea del Norte y comprende los grupos de amenazas ampliamente rastreados como el Grupo Lazarus –y sus elementos subordinados, Andariel y BlueNoroff– y Kimsuky. «Kimsuky ha mostrado interés en utilizar inteligencia artificial generativa, incluidos modelos de lenguaje grandes, potencialmente para codificar o escribir correos electrónicos de phishing», agrega el informe. «Se ha observado que Kimsuky usa ChatGPT». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

24 de marzo de 2024Sala de prensaRansomware / Threat Intelligence Las autoridades alemanas han anunciado la eliminación de un mercado clandestino ilícito llamado Nemesis Market que vendía narcóticos, datos robados y diversos servicios de ciberdelincuencia. La Oficina Federal de Policía Criminal (también conocida como Bundeskriminalamt o BKA) dijo que se apoderó de la infraestructura digital asociada con el servicio de red oscura ubicada en Alemania y Lituania y confiscó 94.000 euros (102.107 dólares) en activos de criptomonedas. La operación, realizada en colaboración con organismos encargados de hacer cumplir la ley de Alemania, Lituania y Estados Unidos, tuvo lugar el 20 de marzo de 2024, tras una extensa investigación que comenzó en octubre de 2022. Se estima que Nemesis Market, fundado en 2021, tuvo más de 150.000 cuentas de usuario y 1.100 cuentas de vendedor de todo el mundo antes de su cierre. Casi el 20$ de las cuentas de vendedores eran de Alemania. «La gama de bienes disponibles en el mercado incluía narcóticos, datos y bienes obtenidos de manera fraudulenta, así como una selección de servicios de cibercrimen como ransomware, phishing o ataques DDoS», dijo la BKA. La agencia dijo que actualmente se están llevando a cabo más investigaciones contra vendedores y usuarios delictivos de la plataforma. Dicho esto, no se han realizado arrestos. El desarrollo se produce un mes después de que otra operación policial coordinada derribara el grupo de ransomware LockBit, tomando el control de los servidores del equipo y arrestando a tres afiliados de Polonia y Ucrania. La interrupción llevó a la pandilla a relanzar su operación de extorsión cibernética. En los últimos meses, las autoridades alemanas también han cerrado Kingdom Market y Crimemarket, que contaban con miles de usuarios y ofrecían una amplia gama de servicios de lavado de dinero y delitos cibernéticos. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

19 de marzo de 2024The Hacker NewsAPI Security / Vulnerability Las interfaces de programación de aplicaciones (API) son el tejido conectivo detrás de la modernización digital y ayudan a las aplicaciones y bases de datos a intercambiar datos de manera más efectiva. El informe sobre el estado de la seguridad de las API en 2024 de Imperva, una empresa de Thales, encontró que la mayor parte del tráfico de Internet (71%) en 2023 fueron llamadas API. Es más, un sitio empresarial típico recibió un promedio de 1,5 mil millones de llamadas API en 2023. El creciente volumen de tráfico de Internet que pasa a través de las API debería ser preocupante para todos los profesionales de la seguridad. A pesar de los mejores esfuerzos para adoptar marcos de trabajo de desplazamiento a la izquierda y procesos SDLC, las API a menudo todavía se ponen en producción antes de catalogarse, autenticarse o auditarse. En promedio, las organizaciones tienen 613 puntos finales API en producción, pero ese número se está expandiendo rápidamente a medida que crece la presión para brindar servicios digitales a los clientes de manera más rápida y eficiente. Con el tiempo, estas API pueden convertirse en puntos finales vulnerables y riesgosos. En su informe, Imperva concluye que las API son ahora un vector de ataque común para los ciberdelincuentes porque son una vía directa para acceder a datos confidenciales. De hecho, un estudio del Marsh McLennan Cyber ​​Risk Analytics Center encuentra que los incidentes de seguridad relacionados con API cuestan a las empresas globales hasta 75 mil millones de dólares al año. Más llamadas API, más problemas La banca y el comercio minorista en línea registraron los mayores volúmenes de llamadas API en comparación con cualquier otra industria en 2023. Ambas industrias dependen de grandes ecosistemas API para brindar servicios digitales a sus clientes. Por lo tanto, no sorprende que los servicios financieros, que incluyen la banca, fueran el principal objetivo de los ataques relacionados con API en 2023. Los ciberdelincuentes utilizan una variedad de métodos para atacar los puntos finales de API, pero un vector de ataque común es la adquisición de cuentas (ATO). Este ataque ocurre cuando los ciberdelincuentes aprovechan las vulnerabilidades en los procesos de autenticación de una API para obtener acceso no autorizado a las cuentas. En 2023, casi la mitad (45,8%) de todos los ataques ATO tuvieron como objetivo puntos finales API. Estos intentos a menudo los lleva a cabo la automatización en forma de robots maliciosos, agentes de software que ejecutan tareas automatizadas con intenciones maliciosas. Cuando tienen éxito, estos ataques pueden bloquear el acceso de los clientes a sus cuentas, proporcionar a los delincuentes datos confidenciales, contribuir a la pérdida de ingresos y aumentar el riesgo de incumplimiento. Teniendo en cuenta el valor de los datos que los bancos y otras instituciones financieras gestionan para sus clientes, la ATO es un riesgo empresarial preocupante. Por qué las API mal administradas son una amenaza para la seguridad Mitigar el riesgo de seguridad de las API es un desafío único que frustra incluso a los equipos de seguridad más sofisticados. El problema surge del rápido ritmo de desarrollo de software y la falta de herramientas y procesos maduros para ayudar a los desarrolladores y equipos de seguridad a trabajar de manera más colaborativa. Como resultado, casi una de cada 10 API es vulnerable a ataques porque no quedó obsoleta correctamente, no está monitoreada o carece de suficientes controles de autenticación. En su informe, Imperva identificó tres tipos comunes de puntos finales API mal administrados que crean riesgos de seguridad para las organizaciones: API ocultas, obsoletas y no autenticadas. API ocultas: también conocidas como API no documentadas o no descubiertas, son API que no están supervisadas, olvidadas y/o fuera de la visibilidad del equipo de seguridad. Imperva estima que las API ocultas representan el 4,7% de la colección de API activas de cada organización. Estos puntos finales se introducen por diversas razones, desde el propósito de probar el software hasta su uso como conector para un servicio de terceros. Surgen problemas cuando estos puntos finales de API no se catalogan o administran adecuadamente. Las empresas deberían preocuparse por las API ocultas porque normalmente tienen acceso a información confidencial, pero nadie sabe dónde existen ni a qué están conectadas. Una única API oculta puede provocar una infracción de cumplimiento y una multa reglamentaria o, peor aún, un ciberdelincuente motivado abusará de ella para acceder a los datos confidenciales de una organización. API obsoletas: desaprobar un punto final de API es una progresión natural en el ciclo de vida del software. Como resultado, la presencia de API obsoletas no es infrecuente, ya que el software se actualiza a un ritmo rápido y continuo. De hecho, Imperva estima que las API obsoletas, en promedio, representan el 2,6% de la colección de API activas de una organización. Cuando el punto final está en desuso, los servicios que soportan dichos puntos finales se actualizan y una solicitud al punto final en desuso debería fallar. Sin embargo, si los servicios no se actualizan y la API no se elimina, el punto final se vuelve vulnerable porque carece de los parches y las actualizaciones de software necesarios. API no autenticadas: a menudo, las API no autenticadas se introducen como resultado de una mala configuración, la supervisión de un proceso de lanzamiento apresurado o la relajación de un proceso de autenticación rígido para adaptarse a versiones anteriores de software. Estas API representan, en promedio, el 3,4% de la colección de API activas de una organización. La existencia de API no autenticadas plantea un riesgo importante para las organizaciones, ya que pueden exponer datos o funcionalidades confidenciales a usuarios no autorizados y provocar violaciones de datos o manipulación del sistema. Para mitigar los diversos riesgos de seguridad introducidos por las API mal administradas, se recomienda realizar auditorías periódicas para identificar puntos finales de API no supervisados ​​o no autenticados. El monitoreo continuo puede ayudar a detectar cualquier intento de explotar las vulnerabilidades asociadas con estos puntos finales. Además, los desarrolladores deben actualizar y actualizar las API periódicamente para garantizar que los puntos finales obsoletos se reemplacen con alternativas más seguras. Cómo proteger sus API Imperva ofrece varias recomendaciones para ayudar a las organizaciones a mejorar su postura de seguridad de API: Descubra, clasifique e inventaria todas las API, puntos finales, parámetros y cargas útiles. Utilice el descubrimiento continuo para mantener un inventario de API siempre actualizado y revelar la exposición de datos confidenciales. Identifique y proteja API sensibles y de alto riesgo. Realice evaluaciones de riesgos dirigidas específicamente a puntos finales de API vulnerables a autorización y autenticación rotas, así como a exposición excesiva de datos. Establezca un sistema de monitoreo sólido para los puntos finales de API para detectar y analizar comportamientos sospechosos y patrones de acceso de manera activa. Adopte un enfoque de seguridad de API que integre firewall de aplicaciones web (WAF), protección de API, prevención de denegación de servicio distribuida (DDoS) y protección contra bots. Una amplia gama de opciones de mitigación ofrece flexibilidad y protección avanzada contra amenazas API cada vez más sofisticadas, como ataques a la lógica empresarial, contra los cuales es particularmente difícil defenderse ya que son únicos para cada API. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link