Etiqueta: Noticias de ciberseguridad hoy Página 1 de 3

04 de julio de 2024Sala de prensaVulnerabilidad / Infraestructura crítica Microsoft ha revelado dos fallas de seguridad en Rockwell Automation PanelView Plus que podrían ser utilizadas por atacantes remotos no autenticados para ejecutar código arbitrario y desencadenar una condición de denegación de servicio (DoS). [remote code execution] «La vulnerabilidad en PanelView Plus involucra dos clases personalizadas que pueden ser abusadas para cargar y cargar una DLL maliciosa en el dispositivo», dijo el investigador de seguridad Yuval Gordon. «La vulnerabilidad DoS aprovecha la misma clase personalizada para enviar un búfer diseñado que el dispositivo no puede manejar correctamente, lo que conduce a un DoS». La lista de deficiencias es la siguiente: CVE-2023-2071 (puntuación CVSS: 9.8): una vulnerabilidad de validación de entrada incorrecta que permite a los atacantes no autenticados lograr código remoto ejecutado a través de paquetes maliciosos diseñados. CVE-2023-29464 (puntuación CVSS: 8.2): una vulnerabilidad de validación de entrada incorrecta que permite a un actor de amenazas no autenticado leer datos de la memoria a través de paquetes maliciosos diseñados y dar como resultado un DoS al enviar un paquete más grande que el tamaño del búfer. La explotación exitosa de las fallas gemelas permite a un adversario ejecutar código de forma remota o provocar la divulgación de información o una condición DoS. Mientras que CVE-2023-2071 afecta a FactoryTalk View MachineEdición (versiones 13.0, 12.0 y anteriores), CVE-2023-29464 afecta a FactoryTalk Linx (versiones 6.30, 6.20 y anteriores). Vale la pena señalar que Rockwell Automation publicó avisos sobre las fallas el 12 de septiembre de 2023 y el 12 de octubre de 2023, respectivamente. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó sus propias alertas el 21 de septiembre y el 17 de octubre. La divulgación se produce cuando se cree que actores de amenazas desconocidos están explotando una falla de seguridad crítica recientemente revelada en HTTP File Server (CVE-2024-23692, puntuación CVSS: 9.8) para entregar mineros de criptomonedas y troyanos como Xeno RAT, Gh0st RAT y PlugX. La vulnerabilidad, descrita como un caso de inyección de plantilla, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios en el sistema afectado enviando una solicitud HTTP especialmente diseñada. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

04 de julio de 2024Sala de prensaInteligencia artificial / Privacidad de datos La autoridad de protección de datos de Brasil, Autoridade Nacional de Proteção de Dados (ANPD), ha prohibido temporalmente a Meta procesar datos personales de los usuarios para entrenar los algoritmos de inteligencia artificial (IA) de la empresa. La ANPD dijo que encontró «evidencia de procesamiento de datos personales basado en hipótesis legales inadecuadas, falta de transparencia, limitación de los derechos de los titulares de los datos y riesgos para niños y adolescentes». La decisión sigue a la actualización del gigante de las redes sociales a sus términos que le permiten usar contenido público de Facebook, Messenger e Instagram para fines de entrenamiento de IA. Un informe reciente publicado por Human Rights Watch encontró que LAION-5B, uno de los conjuntos de datos de imagen y texto más grandes utilizados para entrenar modelos de IA, contenía enlaces a fotos identificables de niños brasileños, lo que los ponía en riesgo de deepfakes maliciosos que podrían ponerlos bajo aún más explotación y daño. Brasil tiene alrededor de 102 millones de usuarios activos, lo que lo convierte en uno de los mercados más grandes. La ANPD señaló que la actualización de Meta viola la Ley General de Protección de Datos Personales (LGBD) y tiene «el riesgo inminente de daño grave e irreparable o difícil de reparar a los derechos fundamentales de los titulares de los datos afectados». Meta tiene cinco días hábiles para cumplir con la orden, o corre el riesgo de enfrentar multas diarias de 50.000 reales (aproximadamente $ 8.808). En una declaración compartida con Associated Press, la empresa dijo que la política «cumple con las leyes y regulaciones de privacidad en Brasil», y que el fallo es «un paso atrás para la innovación, la competencia en el desarrollo de IA y más retrasos para llevar los beneficios de la IA a las personas en Brasil». La empresa de redes sociales ha recibido un rechazo similar en la Unión Europea (UE), lo que la obligó a pausar los planes de entrenar sus modelos de IA utilizando datos de los usuarios de la región sin obtener el consentimiento explícito de los usuarios. La semana pasada, el presidente de asuntos globales de Meta, Nick Clegg, dijo que la UE estaba perdiendo «terreno fértil para la innovación» al ser demasiado dura con las empresas de tecnología. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Una operación policial coordinada con el nombre en código MORPHEUS ha derribado cerca de 600 servidores que eran utilizados por grupos cibercriminales y que formaban parte de una infraestructura de ataque asociada con Cobalt Strike. La operación se dirigió a versiones antiguas y sin licencia del marco de trabajo en equipo rojo Cobalt Strike entre el 24 y el 28 de junio, según Europol. De las 690 direcciones IP que fueron señaladas a los proveedores de servicios en línea en 27 países como asociadas con actividades delictivas, 590 ya no son accesibles. La operación conjunta, que comenzó en 2021, fue dirigida por la Agencia Nacional contra el Crimen (NCA) del Reino Unido e involucró a autoridades de Australia, Canadá, Alemania, los Países Bajos, Polonia y los EE. UU. Funcionarios de Bulgaria, Estonia, Finlandia, Lituania, Japón y Corea del Sur brindaron apoyo adicional. Cobalt Strike es una popular herramienta de simulación de adversarios y pruebas de penetración desarrollada por Fortra (anteriormente Help Systems), que ofrece a los expertos en seguridad de TI una forma de identificar debilidades en las operaciones de seguridad y las respuestas a incidentes. Sin embargo, como ya observaron Google y Microsoft, versiones pirateadas del software han llegado a manos de actores maliciosos, que han abusado de él una y otra vez con fines de postexplotación. Según un informe reciente de la Unidad 42 de Palo Alto Networks, esto implica el uso de una carga útil llamada Beacon, que utiliza perfiles basados ​​en texto llamados Malleable C2 para alterar las características del tráfico web de Beacon en un intento de evitar la detección. «Aunque Cobalt Strike es un software legítimo, lamentablemente los cibercriminales han explotado su uso con fines nefastos», dijo Paul Foster, director de liderazgo de amenazas de la NCA, en un comunicado. «Las versiones ilegales del mismo han ayudado a reducir la barrera de entrada al cibercrimen, lo que facilita que los delincuentes en línea desaten ataques dañinos de ransomware y malware con poca o ninguna experiencia técnica. Dichos ataques pueden costarles a las empresas millones en términos de pérdidas y recuperación». El hecho se produce después de que las fuerzas de seguridad españolas y portuguesas detuvieran a 54 personas por cometer delitos contra ciudadanos mayores mediante esquemas de vishing en los que se hacían pasar por empleados bancarios y les engatusaban para que facilitaran información personal con el pretexto de solucionar un problema con sus cuentas. Los datos se pasaban a otros miembros de la red criminal, que visitaban los hogares de las víctimas sin previo aviso y las presionaban para que les dieran sus tarjetas de crédito, códigos PIN y datos bancarios. En algunos casos también se producían robos de dinero en efectivo y joyas. El esquema criminal finalmente permitía a los malhechores tomar el control de las cuentas bancarias de las víctimas o realizar retiradas de efectivo no autorizadas de los cajeros automáticos y otras compras costosas. «Utilizando una combinación de llamadas telefónicas fraudulentas e ingeniería social, los delincuentes son responsables de 2.500.000 euros en pérdidas», dijo Europol a principios de esta semana. «Los fondos se depositaban en múltiples cuentas españolas y portuguesas controladas por los estafadores, desde donde se canalizaban hacia un elaborado plan de lavado de dinero. Se utilizaba una extensa red de mulas de dinero supervisadas por miembros especializados de la organización para ocultar el origen de los fondos ilícitos». Las detenciones también siguen a una acción similar llevada a cabo por INTERPOL para desmantelar redes de tráfico de personas en varios países, incluido Laos, donde varios ciudadanos vietnamitas fueron atraídos con promesas de trabajos bien remunerados, solo para ser obligados a crear cuentas fraudulentas en línea para estafas financieras. «Las víctimas trabajaban jornadas laborales de 12 horas, que se ampliaban a 14 horas si no lograban reclutar a otros, y se les confiscaban sus documentos», dijo la agencia. «Las familias fueron extorsionadas hasta con 10.000 dólares estadounidenses para asegurar su regreso a Vietnam». La semana pasada, INTERPOL dijo que también confiscó activos por valor de 257 millones de dólares y congeló 6.745 cuentas bancarias tras una operación policial mundial que abarcó 61 países y que se llevó a cabo para desmantelar redes de estafas en línea y crimen organizado. El ejercicio, conocido como Operación First Light, se centró en el phishing, el fraude de inversiones, los sitios de compras en línea falsos, las estafas románticas y las estafas de suplantación de identidad. Condujo a la detención de 3.950 sospechosos y a la identificación de otros 14.643 posibles sospechosos en todos los continentes. ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

04 de julio de 2024Sala de prensaFuga de datos / Seguridad móvil El proveedor de comunicaciones en la nube Twilio ha revelado que actores de amenazas no identificados se aprovecharon de un punto final no autenticado en Authy para identificar datos asociados con las cuentas de Authy, incluidos los números de teléfono móvil de los usuarios. La empresa dijo que tomó medidas para asegurar el punto final para que ya no aceptara solicitudes no autenticadas. El desarrollo se produce días después de que un personaje en línea llamado ShinyHunters publicara en BreachForums una base de datos que comprende 33 millones de números de teléfono supuestamente extraídos de cuentas de Authy. Authy, propiedad de Twilio desde 2015, es una popular aplicación de autenticación de dos factores (2FA) que agrega una capa adicional de seguridad a la cuenta. «No hemos visto evidencia de que los actores de amenazas obtuvieran acceso a los sistemas de Twilio u otros datos confidenciales», dijo en una alerta de seguridad del 1 de julio de 2024. Sin embargo, por precaución, recomienda que los usuarios actualicen sus aplicaciones de Android (versión 25.1.0 o posterior) e iOS (versión 26.1.0 o posterior) a la última versión. También advierte que los actores de amenazas pueden intentar usar el número de teléfono asociado con las cuentas de Authy para ataques de phishing y smishing. «Alentamos a todos los usuarios de Authy a que sean diligentes y tengan mayor conciencia sobre los mensajes de texto que reciben», señaló. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024The Hacker NewsOSINT / Inteligencia artificial Recientemente, la Oficina del Director de Inteligencia Nacional (ODNI) dio a conocer una nueva estrategia para la inteligencia de fuentes abiertas (OSINT) y se refirió a la OSINT como la «INT de primer recurso». Las organizaciones del sector público y privado se están dando cuenta del valor que puede proporcionar la disciplina, pero también están descubriendo que el crecimiento exponencial de los datos digitales en los últimos años ha abrumado a muchos métodos tradicionales de OSINT. Afortunadamente, la inteligencia artificial (IA) y el aprendizaje automático (ML) están comenzando a proporcionar un impacto transformador en el futuro de la recopilación y el análisis de información. ¿Qué es la inteligencia de fuentes abiertas (OSINT)? La inteligencia de fuentes abiertas se refiere a la recopilación y el análisis de información de fuentes disponibles públicamente. Estas fuentes pueden incluir medios tradicionales, plataformas de redes sociales, publicaciones académicas, informes gubernamentales y cualquier otro dato que sea de acceso abierto. La característica clave de la OSINT es que no involucra métodos encubiertos o clandestinos de recopilación de información, como la inteligencia humana o la ingeniería social. Si hubiera podido obtener datos durante mi tiempo trabajando para el gobierno de los EE. UU. pero ya no puedo como civil, eso no es OSINT. Históricamente, OSINT ha sido un proceso laborioso que involucra varios pasos clave: Identificación de fuentes: los analistas determinan qué fuentes públicas probablemente contengan información relevante. Recopilación de datos: la información se recopila de estas fuentes, a menudo a través de búsquedas manuales o herramientas de raspado web. Procesamiento de datos: la información recopilada se organiza y estructura para su análisis. Análisis: los analistas expertos examinan los datos para identificar patrones, tendencias y conocimientos. Informes: los hallazgos se compilan en informes para que los tomadores de decisiones puedan tomar decisiones más informadas. Si bien es efectivo, este enfoque enfrenta limitaciones con el gran volumen de información disponible. Los analistas humanos luchan por procesar todo manualmente y es posible que haya información valiosa oculta en patrones complejos que son difíciles de detectar para los humanos. Aquí es donde la IA/ML puede brindar un tremendo beneficio en cómo se puede recopilar, procesar y analizar la información, liberando así al analista humano para que se concentre en cosas para las que está especialmente calificado, como brindar contexto. Como beneficio adicional, este cambio a menudo mejora la moral, ya que los humanos pasan menos tiempo en tareas de procesamiento mundanas y más tiempo analizando y revisando información. Las tareas en las que la IA/ML puede proporcionar un beneficio inmediato incluyen: Manejo de volúmenes masivos de datos: los sistemas de IA pueden procesar y analizar enormes cantidades de datos a velocidades que superan con creces las capacidades humanas. Esto permite a los profesionales de OSINT lanzar una red mucho más amplia de lo que era posible antes y aún así lidiar con los resultados. Análisis en tiempo real: el volumen del flujo de información en el mundo digital actual es asombroso. Las herramientas OSINT impulsadas por IA pueden monitorear y analizar flujos de datos en tiempo real, brindando inteligencia actualizada y permitiendo una respuesta rápida a situaciones emergentes. Análisis multilingüe y multimodal: la IA puede derribar las barreras del idioma al traducir y analizar contenido en varios idiomas simultáneamente. Además, puede procesar varios tipos de datos (texto, imágenes, audio y video) de manera integrada, brindando un panorama de inteligencia más completo. Muchas de estas capacidades, como Whisper de OpenAI, se pueden utilizar sin conexión, lo que elimina cualquier preocupación sobre la seguridad operativa (OPSEC). Análisis predictivo: al analizar datos históricos y tendencias actuales, la IA puede ayudar a predecir eventos o comportamientos futuros, agregando una dimensión proactiva a OSINT. Automatización de tareas rutinarias: la IA puede ayudar a automatizar muchos aspectos de OSINT que consumen mucho tiempo, como la recopilación de datos y el filtrado inicial, lo que libera a los analistas humanos para que se concentren en el análisis y la toma de decisiones de nivel superior. Las cosas que antes eran muy difíciles, si no imposibles, de implementar, como el análisis preciso de sentimientos, ahora son triviales. En SANS Network Security, el curso SEC497 Practical OSINT y el curso SEC587 Advanced OSINT brindarán a los estudiantes experiencia práctica en el uso de estas capacidades de IA no solo para proporcionar un aumento en la productividad, sino también para descubrir nuevas posibilidades. Si bien ninguna tecnología es perfecta y debemos considerar las posibles ramificaciones que podría causar una alucinación antes de implementar la IA, las piezas clave de la tecnología que se utilizan actualmente para OSINT incluyen: Procesamiento del lenguaje natural (NLP): el NLP permite que las máquinas comprendan, interpreten y generen lenguaje humano. En OSINT, el NLP es crucial para: Análisis de sentimientos de publicaciones en redes sociales Reconocimiento de entidades para identificar personas, organizaciones y ubicaciones en el texto Modelado de temas para categorizar grandes volúmenes de datos de texto Traducción automática para recopilación de inteligencia multilingüe Visión artificial: esta tecnología permite que las máquinas interpreten y analicen información visual. En OSINT, la visión artificial se utiliza para: Reconocimiento facial en imágenes y videos Comparaciones faciales para identificar si la misma persona aparece en varias imágenes Detección de objetos en imágenes Reconocimiento óptico de caracteres (OCR) para extraer texto de las imágenes Comprensión de escenas en secuencias de video Aprendizaje automático y minería de datos: ¿Cuántas veces has escuchado «aquellos que no conocen la historia están condenados a repetirla»? El aprendizaje automático es la personificación de ese concepto, ya que permite a los sistemas aprender de los datos y mejorar su rendimiento con el tiempo. En OSINT, se utilizan para: Análisis predictivo para pronosticar tendencias o eventos Detección de anomalías para identificar patrones o comportamientos inusuales Agrupamiento y clasificación de datos para un análisis más sencillo Análisis de redes para comprender las relaciones entre entidades He estado haciendo OSINT durante casi dos décadas y este es, por lejos, el momento más dinámico y emocionante que he visto con nuevos desarrollos en el espacio que ocurren literalmente a diario. Si va a estar en Network Security en Las Vegas este septiembre, espero poder hablar sobre cómo esta capacidad puede mejorar nuestra efectividad y eficiencia hoy, así como lo que podemos esperar en el futuro. ¿Aún no se registró en SANS Network Security? ¡Consulte esta página para ver todo lo que le espera! Nota: Este artículo está escrito por expertos Matt Edmondson, instructor principal de SANS y director de Argelius Labs, con una década de experiencia profesional en OSINT. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaSpyware / Vulnerabilidad Se ha observado que actores de amenazas desconocidos explotan una falla de seguridad ahora parcheada en Microsoft MSHTML para entregar una herramienta de vigilancia llamada MerkSpy como parte de una campaña dirigida principalmente a usuarios en Canadá, India, Polonia y EE. UU. «MerkSpy está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información confidencial y establecer persistencia en sistemas comprometidos», dijo la investigadora de Fortinet FortiGuard Labs, Cara Lin, en un informe publicado la semana pasada. El punto de partida de la cadena de ataque es un documento de Microsoft Word que aparentemente contiene una descripción del trabajo para un puesto de ingeniero de software. Pero abrir el archivo desencadena la explotación de CVE-2021-40444, una falla de alta gravedad en MSHTML que podría resultar en la ejecución remota de código sin requerir ninguna interacción del usuario. Microsoft lo abordó como parte de las actualizaciones del martes de parches publicadas en septiembre de 2021. En este caso, allana el camino para la descarga de un archivo HTML («olerender.html») desde un servidor remoto que, a su vez, inicia la ejecución de un shellcode incrustado después de verificar la versión del sistema operativo. «Olerender.html» aprovecha «‘VirtualProtect’ para modificar los permisos de memoria, lo que permite que el shellcode decodificado se escriba en la memoria de forma segura», explicó Lin. «A continuación, ‘CreateThread’ ejecuta el shellcode inyectado, preparando el escenario para la descarga y ejecución de la siguiente carga útil desde el servidor del atacante. Este proceso garantiza que el código malicioso se ejecute sin problemas, lo que facilita una mayor explotación». El shellcode sirve como descargador de un archivo que se titula engañosamente «GoogleUpdate» pero que, en realidad, alberga una carga útil de inyección responsable de evadir la detección del software de seguridad y cargar MerkSpy en la memoria. El software espía establece persistencia en el host a través de cambios en el Registro de Windows, de modo que se inicia automáticamente al iniciar el sistema. También incluye capacidades para capturar clandestinamente información confidencial, monitorear las actividades de los usuarios y exfiltrar datos a servidores externos bajo el control de los actores de la amenaza. Esto incluye capturas de pantalla, pulsaciones de teclas, credenciales de inicio de sesión almacenadas en Google Chrome y datos de la extensión del navegador MetaMask. Toda esta información se transmite a la URL «45.89.53[.]46/google/actualización[.]php.» El desarrollo se produce luego de que Symantec detallara una campaña de smishing dirigida a usuarios en los EE. UU. con mensajes SMS sospechosos que pretenden ser de Apple y tienen como objetivo engañarlos para que hagan clic en páginas falsas de recolección de credenciales («signin.authen-connexion[.]info/icloud») para poder seguir utilizando los servicios. «El sitio web malicioso es accesible tanto desde navegadores de escritorio como móviles», dijo la empresa propiedad de Broadcom. «Para agregar una capa de legitimidad percibida, han implementado un CAPTCHA que los usuarios deben completar. Después de esto, los usuarios son dirigidos a una página web que imita una plantilla de inicio de sesión de iCloud obsoleta». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaMalware / Envenenamiento SEO El cargador como servicio (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware de carga más extendidas distribuidas mediante la técnica de descarga automática este año, según revelan los hallazgos de Sekoia. «FakeBat tiene como objetivo principal descargar y ejecutar la carga útil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif», dijo la compañía en un análisis del martes. Los ataques drive-by implican el uso de métodos como envenenamiento de optimización de motores de búsqueda (SEO), publicidad maliciosa e inyecciones de código nefasto en sitios comprometidos para incitar a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador. El uso de cargadores de malware en los últimos años encaja con el creciente uso de páginas de destino que se hacen pasar por sitios web de software legítimos haciéndolas pasar por instaladores legítimos. Esto se relaciona con el aspecto más amplio de que el phishing y la ingeniería social siguen siendo una de las principales formas de los actores de amenazas para obtener acceso inicial. FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripción LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (también conocido como Payk_34) desde al menos diciembre de 2022. El cargador está diseñado para eludir los mecanismos de seguridad y brinda a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software legítimo, así como monitorear las instalaciones a lo largo del tiempo a través de un panel de administración. Si bien las versiones anteriores utilizaban un formato MSI para las compilaciones de malware, las iteraciones recientes observadas desde septiembre de 2023 han cambiado a un formato MSIX y han agregado una firma digital al instalador con un certificado válido para eludir las protecciones SmartScreen de Microsoft. El malware está disponible por 1.000 dólares semanales y 2.500 dólares mensuales para el formato MSI, 1.500 dólares semanales y 4.000 dólares mensuales para el formato MSIX, y 1.800 dólares semanales y 5.000 dólares mensuales para el paquete combinado MSI y firma. Sekoia dijo que detectó diferentes grupos de actividad que difundían FakeBat mediante tres enfoques principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas del navegador web a través de sitios comprometidos y esquemas de ingeniería social en redes sociales. Esto abarca campañas probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER. «Además de alojar cargas útiles, FakeBat [command-and-control] «Es muy probable que los servidores filtren el tráfico en función de características como el valor User-Agent, la dirección IP y la ubicación», dijo Sekoia. «Esto permite la distribución del malware a objetivos específicos». La revelación se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detalló una campaña de malware que distribuyó otro cargador llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) a través de correos electrónicos de phishing con temática de facturas. También sigue al descubrimiento de cadenas de infección que propagan Hijack Loader (también conocido como DOILoader e IDAT Loader) a través de sitios de descarga de películas pirateadas para finalmente entregar el ladrón de información Lumma. «Esta campaña IDATLOADER está utilizando una cadena de infección compleja que contiene múltiples capas de ofuscación directa basada en código junto con trucos innovadores para ocultar aún más la malicia del código», dijo el investigador de Kroll Dave Truman. «La infección giraba en torno a la utilización de mshta.exe de Microsoft para ejecutar código enterrado en lo profundo de un archivo especialmente diseñado que se hacía pasar por una clave secreta PGP. La campaña utilizó nuevas adaptaciones de técnicas comunes y una fuerte ofuscación para ocultar el código malicioso de la detección». También se han observado campañas de phishing que distribuyen Remcos RAT, con un nuevo actor de amenazas de Europa del Este llamado Unfurling Hemlock que aprovecha los cargadores y los correos electrónicos para dejar caer archivos binarios que actúan como una «bomba de racimo» para propagar diferentes cepas de malware a la vez. «El malware que se distribuye utilizando esta técnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y SmokeLoader», dijo el investigador de Outpost24, Héctor García. «Se detectó que la mayoría de las primeras etapas se enviaban por correo electrónico a diferentes empresas o se descargaban desde sitios externos que fueron contactados por cargadores externos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaMalware / Inteligencia de amenazas Se ha descubierto que el servidor de actualización de productos de un proveedor de planificación de recursos empresariales (ERP) de Corea del Sur no identificado se vio comprometido para entregar una puerta trasera basada en Go denominada Xctdoor. El Centro de Inteligencia de Seguridad AhnLab (ASEC), que identificó el ataque en mayo de 2024, no lo atribuyó a un actor o grupo de amenazas conocido, pero señaló que las tácticas se superponen con las de Andariel, un subgrupo dentro del infame Grupo Lazarus. Las similitudes se derivan del uso anterior por parte del adversario norcoreano de la solución ERP para distribuir malware como HotCroissant, que es idéntico a Rifdoor, en 2017 al insertar una rutina maliciosa en un programa de actualización de software. En el incidente reciente analizado por ASEC, se dice que el mismo ejecutable fue manipulado para ejecutar un archivo DLL desde una ruta específica utilizando el proceso regsvr32.exe en lugar de iniciar un descargador. El archivo DLL, Xctdoor, es capaz de robar información del sistema, incluidas las pulsaciones de teclas, capturas de pantalla y contenido del portapapeles, y ejecutar comandos emitidos por el actor de la amenaza. «Xctdoor se comunica con el [command-and-control] El ataque también utiliza un malware llamado XcLoader, que actúa como un malware inyector responsable de inyectar Xctdoor en procesos legítimos (por ejemplo, «explorer.exe»). El ASEC dijo que detectó además casos en los que se han comprometido servidores web mal protegidos para instalar XcLoader desde al menos marzo de 2024. El desarrollo se produce cuando se ha observado que otro actor de amenazas vinculado a Corea del Norte, conocido como Kimusky, utiliza una puerta trasera previamente no documentada con el nombre en código HappyDoor que se ha utilizado desde julio de 2021. Las cadenas de ataque que distribuyen el malware aprovechan los correos electrónicos de phishing selectivo como punto de partida para difundir un archivo comprimido, que contiene un JavaScript ofuscado o un cuentagotas que, cuando se ejecuta, crea y ejecuta HappyDoor junto con un archivo señuelo. HappyDoor, un archivo DLL ejecutado a través de regsvr32.exe, está equipado para comunicarse con un servidor remoto a través de HTTP y facilitar el robo de información, la descarga/carga de archivos, así como la actualización y finalización de sí mismo. También sigue a una campaña de distribución de malware «masiva» orquestada por el grupo de ciberespionaje Konni (también conocido como Opal Sleet, Osmium o TA406) que tiene como objetivo a Corea del Sur con señuelos de phishing que se hacen pasar por el servicio fiscal nacional para entregar malware capaz de robar información confidencial, dijo el investigador de seguridad Idan Tarab. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

03 de julio de 2024Sala de prensaAtaque cibernético / Malware Los investigadores de ciberseguridad han descubierto una campaña de ataque que tiene como objetivo a varias entidades israelíes con marcos de trabajo disponibles públicamente como Donut y Sliver. La campaña, que se cree que tiene una naturaleza muy específica, «aprovecha la infraestructura específica del objetivo y los sitios web personalizados de WordPress como mecanismo de entrega de carga útil, pero afecta a una variedad de entidades en verticales no relacionadas y se basa en malware de código abierto conocido», dijo HarfangLab en un informe la semana pasada. La empresa francesa está rastreando la actividad bajo el nombre Supposed Grasshopper. Es una referencia a un servidor controlado por el atacante («auth.economy-gov-il»).[.]El programa descargador, escrito en Nim, es rudimentario y se encarga de descargar el malware de segunda etapa desde el servidor de pruebas. Se distribuye por medio de un archivo de disco duro virtual (VHD) que se sospecha que se propaga a través de sitios personalizados de WordPress como parte de un esquema de descarga automática. La carga útil de segunda etapa recuperada del servidor es Donut, un marco de generación de shellcode, que sirve como conducto para implementar una alternativa de código abierto a Cobalt Strike llamada Sliver. «Los operadores también pusieron algunos esfuerzos notables en adquirir una infraestructura dedicada e implementar un sitio web realista de WordPress para entregar cargas útiles», dijeron los investigadores. «En general, esta campaña parece que podría ser el trabajo de un equipo pequeño». El objetivo final de la campaña es actualmente desconocido, aunque HarfangLab teorizó que también podría estar asociada con una operación legítima de prueba de penetración, una posibilidad que plantea su propio conjunto de preguntas en torno a la transparencia y la suplantación de identidad del gobierno israelí. Agencias. La revelación llega cuando el equipo de investigación de amenazas de SonicWall Capture Labs detalló una cadena de infección que emplea hojas de cálculo de Excel con trampas explosivas como punto de partida para lanzar un troyano conocido como Orcinius. «Se trata de un troyano de varias etapas que utiliza Dropbox y Google Docs para descargar cargas útiles de segunda etapa y mantenerse actualizado», dijo la compañía. «Contiene una macro VBA ofuscada que se conecta a Windows para monitorear las ventanas en ejecución y las pulsaciones de teclas y crea persistencia utilizando claves de registro». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

02 de julio de 2024Sala de prensaSeguridad de hardware / Vulnerabilidad Las CPU modernas de Intel, incluidas Raptor Lake y Alder Lake, han resultado vulnerables a un nuevo ataque de canal lateral que podría aprovecharse para filtrar información confidencial de los procesadores. El ataque, cuyo nombre en código han dado los investigadores de seguridad Luyi Li, Hosein Yavarzadeh y Dean Tullsen, aprovecha las deficiencias identificadas en el Predictor de rama indirecta (IBP) y el Buffer de destino de rama (BTB) para eludir las defensas existentes y comprometer la seguridad de las CPU. «El Predictor de rama indirecta (IBP) es un componente de hardware de las CPU modernas que predice las direcciones de destino de las ramas indirectas», señalaron los investigadores. «Las ramas indirectas son instrucciones de flujo de control cuya dirección de destino se calcula en tiempo de ejecución, lo que dificulta su predicción precisa. El IBP utiliza una combinación de historial global y dirección de rama para predecir la dirección de destino de las ramas indirectas». La idea, en esencia, es identificar vulnerabilidades en IBP para lanzar ataques precisos de inyección de objetivo de rama (BTI), también conocidos como Spectre v2 (CVE-2017-5715), que apuntan al predictor de rama indirecta de un procesador para provocar la divulgación no autorizada de información a un atacante con acceso de usuario local a través de un canal lateral. Esto se logra mediante una herramienta personalizada llamada iBranch Locator que se utiliza para localizar cualquier rama indirecta, seguida de la realización de inyecciones de IBP y BTP dirigidas con precisión para realizar una ejecución especulativa. Intel, que se enteró de los hallazgos en febrero de 2024, ha informado desde entonces a otros proveedores de hardware/software afectados sobre el problema. Como mitigaciones, se recomienda hacer un uso más agresivo de la barrera de predicción de rama indirecta (IBPB) y reforzar el diseño de la unidad de predicción de rama (BPU) incorporando etiquetas, cifrado y aleatorización más complejos. La investigación surge luego de que se descubrió que las CPU de Arm son susceptibles a un ataque de ejecución especulativa propio llamado TIKTAG que apunta a la extensión de etiquetado de memoria (MTE) para filtrar datos con una tasa de éxito de más del 95% en menos de cuatro segundos. El estudio «identifica nuevos dispositivos TikTag capaces de filtrar las etiquetas MTE de direcciones de memoria arbitrarias a través de la ejecución especulativa», dijeron los investigadores Juhee Kim, Jinbum Park, Sihyeon Roh, Jaeyoung Chung, Youngjoo Lee, Taesoo Kim y Byoungyoung Lee. «Con los dispositivos TikTag, los atacantes pueden eludir la defensa probabilística de MTE, lo que aumenta la tasa de éxito del ataque en casi un 100%». En respuesta a la revelación, Arm dijo que «MTE puede proporcionar un conjunto limitado de defensas deterministas de primera línea y un conjunto más amplio de defensas probabilísticas de primera línea contra clases específicas de exploits». «Sin embargo, las propiedades probabilísticas no están diseñadas para ser una solución completa contra un adversario interactivo que es capaz de usar la fuerza bruta, filtrar o crear etiquetas de dirección arbitrarias». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.