Etiqueta: noticias de seguridad cibernética hoy Página 1 de 14

sep 12, 2025Ravie Lakshmanan Apple ha notificado a los usuarios en Francia de una campaña de spyware que se dirige a sus dispositivos, según el Equipo de Respuesta a Emergencias de la Computación de Francia (CERT-FR). La agencia dijo que las alertas fueron enviadas el 3 de septiembre de 2025, lo que lo convierte en la cuarta vez este año que Apple ha notificado a los ciudadanos en el condado que al menos uno de los dispositivos vinculados a sus cuentas de iCloud puede haber sido comprometido como parte de ataques altamente dirigidos. La agencia no compartió más detalles sobre qué desencadenó estas alertas. Las notificaciones de amenazas anteriores se enviaron el 5 de marzo, el 29 de abril y el 25 de junio. Apple ha estado enviando estos avisos desde noviembre de 2021. «Estos ataques complejos atacan a las personas o la función: periodistas, abogados, activistas, políticos, altos funcionarios, miembros de los comités directivos de sectores estratégicos, etc.», dijo CERT-FR. El desarrollo se produce menos de un mes después de que surgió que una falla de seguridad en WhatsApp (CVE-2025-55177, puntaje CVSS: 5.4) fue encadenado con un error de Apple iOS (CVE-2025-43300, puntaje CVSS: 8.8) como parte de los ataques cero. Posteriormente, WhatsApp le dijo a The Hacker News que había enviado notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden haber sido atacados como parte de la campaña. No se sabe quién, y qué proveedor comercial de spyware, está detrás de la actividad. La divulgación se produce cuando Apple ha introducido una característica de seguridad en los últimos modelos de iPhone llamados Memory Integrity Enforcement (MIE) para combatir las vulnerabilidades de la corrupción de la memoria y dificultar que los proveedores de vigilancia, que generalmente dependen de tales días cero para plantar SPYWare en el teléfono de un objetivo. En un informe publicado esta semana, el Consejo Atlántico dijo que el número de inversores de los Estados Unidos en tecnologías de spyware y vigilancia saltó del 11 en 2023 al 31 el año pasado, superando a otros países de inversión importantes como Israel, Italia y el Reino Unido. En total, el estudio ha marcado a dos compañías holding, 55 individuos, 34 inversores, dieciocho socios, siete subsidiarias, 10 proveedores y cuatro proveedores que se establecieron en el último año en el mercado de spyware. Esto incluye nuevas entidades de spyware en Japón, Malasia y Panamá, así como vendedores como Bindecy de Israel e Italia SIO. «La cantidad de entidades estadounidenses que invierten en el mercado de spyware es tres veces mayor que en los próximos tres países más altos con la mayoría de los inversores», dijo el informe, y agregó que «el 56% de los inversores están incorporados en Israel, Estados Unidos, Italia y el Reino Unido». «Los Tesellers y los corredores ahora son actores clave en el mercado de spyware, que comprenden más participación en el mercado de muestras de lo que se demostró anteriormente, y a menudo se obsesionan y no se abordan fácilmente en las deliberaciones de políticas actuales».

La Oficina Federal de Investigación de los Estados Unidos (FBI) ha emitido una alerta flash para liberar indicadores de compromiso (COI) asociados con dos grupos cibercriminales rastreados como UNC6040 y UNC6395 para una cadena de robos de datos y ataques de extorsión. «Recientemente se ha observado que ambos grupos se dirigen a las plataformas Salesforce de las organizaciones a través de diferentes mecanismos de acceso inicial», dijo el FBI. UNC6395 es un grupo de amenazas que se le ha atribuido una campaña de robo de datos generalizada que se dirige a las instancias de Salesforce en agosto de 2025 al explotar los tokens OAuth comprometidos para la aplicación SalesLoft Drift. En una actualización emitida esta semana, Salesloft dijo que el ataque fue posible debido a la violación de su cuenta de GitHub desde marzo hasta junio de 2025. Como resultado de la violación, SalesLoft ha aislado la infraestructura de deriva y ha tomado la aplicación de chatbot de inteligencia artificial (IA) fuera de línea. La compañía también dijo que está en el proceso de implementación de nuevos procesos de autenticación multifactor y medidas de endurecimiento de GitHub. «Estamos enfocados en el endurecimiento continuo del entorno de aplicación de deriva», dijo la compañía. «Este proceso incluye credenciales de rotación, deshabilitar temporalmente ciertas partes de la aplicación de deriva y fortalecer las configuraciones de seguridad». «En este momento, estamos aconsejando a todos los clientes de deriva que traten todas y cada una de las integraciones de deriva y los datos relacionados como potencialmente comprometidos». El segundo grupo al que el FBI ha llamado la atención es UNC6040. Se evalúa que está activo desde octubre de 2024, UNC6040 es el nombre asignado por Google a un clúster de amenazas motivado financieramente que se ha dedicado a las campañas de Vishing para obtener acceso inicial y secuestro de instancias de Salesforce para robo y extorsión de datos a gran escala. Estos ataques han involucrado el uso de una versión modificada de la aplicación de cargador de datos de Salesforce y los scripts de Python personalizados para violar los portales de Salesforce de las víctimas y exfiltrar datos valiosos. Al menos algunos de los incidentes han involucrado actividades de extorsión después de las intrusiones de UNC6040, y tienen lugar meses después del robo de datos iniciales. «Los actores de amenaza de UNC6040 han utilizado paneles de phishing, ordenando a las víctimas que visiten desde sus teléfonos móviles o trabajan computadoras durante las llamadas de ingeniería social», dijo el FBI. «Después de obtener acceso, los actores de amenaza de UNC6040 han utilizado consultas API para exfiltrar grandes volúmenes de datos a granel». Google ha atribuido la fase de extorsión a otro clúster sin categoría rastreado como UNC6240, que ha afirmado constantemente ser el grupo Shinyhunters en correos electrónicos y llamados a empleados de organizaciones víctimas. «Además, creemos que los actores de amenaza que usan la marca ‘Shinyhunters’ pueden estar preparándose para aumentar sus tácticas de extorsión mediante el lanzamiento de un sitio de fuga de datos (DLS)», señaló Google el mes pasado. «Es probable que estas nuevas tácticas tengan la intención de aumentar la presión sobre las víctimas, incluidas las asociadas con las infracciones de datos relacionadas con la fuerza de ventas recientes de UNC6040». Desde entonces, ha habido una gran cantidad de desarrollos, el más notable es el equipo de Shinyhunters, Spiders Spider y Lapsus $ para consolidar y unificar sus esfuerzos criminales. Luego, el 12 de septiembre de 2025, el grupo afirmó en su canal Telegram «dispersado Lapsus $ cazadores 4.0» que están cerrando. «Lapsus $, Trihash, Yurosh, Yaxsh, Wytrozz, N3Z0X, Nitroz, Toxiqueroot, Prosx, Pertinax, Kurosh, Clown, Intelbroker, Spiders Spider, Yukari y entre muchos otros, han decidido ir oscurecer», dijo el grupo. «Nuestros objetivos han sido cumplidos, ahora es el momento de decir adiós». Actualmente no está claro qué llevó al grupo a colgar sus botas, pero es posible que el movimiento sea un intento de estar bajo y evitar más atención de la aplicación de la ley. «El recién formado grupo de Lapsus $ Hunters 4.0 dijo que está colgando las botas y» oscurecer «después de que alegó que la policía francesa arrestó a otra persona equivocada en relación con el grupo de delitos cibernéticos», dijo Sam Rubin, vicepresidente senior de consultoría y inteligencia de amenazas de la Unidad 42, a The Hacker News. «Estas declaraciones rara vez señalan una verdadera jubilación». «Los arrestos recientes pueden haber llevado al grupo a estar bajo, pero la historia nos dice que esto a menudo es temporal. Grupos como este astillador, cambio de marca y resurgimiento, al igual que Shinyhunters. Incluso si las operaciones públicas se detienen, los riesgos permanecen: los datos robados pueden resurgir, las puestas no detectadas pueden persistir y los actores pueden volver a emerger bajo los nuevos nombres. El silencio de un grupo de amenazas no puede ser la igualdad de seguridad. suponiendo que la amenaza no ha desaparecido, solo adaptada «.

sep 12, 2025Ravie Lakshmananvulnerabilidad / seguridad móvil Samsung ha lanzado sus actualizaciones de seguridad mensuales para Android, incluida una solución para una vulnerabilidad de seguridad que, según él, ha sido explotada en ataques de día cero. La vulnerabilidad, CVE-2025-21043 (puntaje CVSS: 8.8), se refiere a una escritura fuera de los límites que podría dar como resultado una ejecución de código arbitraria. «Los fuera de los límites escriben en libimageCodec.quram.so antes de SMR SEP-2025 La versión 1 permite a los atacantes remotos ejecutar código arbitrario», dijo Samsung en un aviso. «El parche solucionó la implementación incorrecta». Según un informe 2020 de Google Project Zero, libimageCodec.quram.so es una biblioteca de análisis de imágenes de código cerrado desarrollada por Quramsoft que implementa soporte para varios formatos de imagen. El problema con calificación crítica, según el gigante electrónico de Corea del Sur, afecta a las versiones de Android 13, 14, 15 y 16. La vulnerabilidad fue divulgada de manera privada a la compañía el 13 de agosto de 2025. Samsung no compartió ningún detalle sobre cómo la vulnerabilidad está siendo explotada en ataques y quién puede estar detrás de estos esfuerzos. Sin embargo, reconoció que «una exploit para este problema ha existido en la naturaleza». El desarrollo se produce poco después de que Google dijo que resolvió dos fallas de seguridad en Android (CVE-2025-38352 y CVE-2025-48543) que, según dijo, se han explotado en ataques dirigidos.

Los investigadores de ciberseguridad han descubierto una nueva cepa de ransomware denominado HybridPetya que se asemeja al notorio malware Petya/Notpetya, al tiempo que incorpora la capacidad de evitar el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificados (UEFI) utilizando una vulnerabilidad ahora cortada que se describe este año. La compañía de ciberseguridad eslovaco, ESET, dijo que las muestras se cargaron en la plataforma Virustotal en febrero de 2025. «HybridPetya cifra la tabla de archivos maestros, que contiene metadatos importantes sobre todos los archivos en particiones conformadas con NTFS», dijo el investigador de seguridad Martin Smolár. «A diferencia del Petya/Notpetya original, HybridPetya puede comprometer los sistemas modernos basados ​​en UEFI al instalar una aplicación EFI maliciosa en la partición del sistema EFI». En otras palabras, la aplicación UEFI implementada es el componente central que se encarga de encriptar el archivo de la tabla de archivos maestros (MFT), que contiene metadatos relacionados con todos los archivos en la partición formatizada por NTFS. HybridPetya viene con dos componentes principales: un botín y un instalador, con el primero apareciendo en dos versiones distintas. El BootKit, que implementa el instalador, es el principal responsable de cargar su configuración y verificar su estado de cifrado. Puede tener tres valores diferentes – 0 – Listo para el cifrado 1 – ya encriptado y 2 – Ransom pagado, disco descifrado si el valor se establece en 0, procede establecer el indicador en 1 y cifra el archivo \ efi \ Microsoft \ Boot \ Verify con el Algorith de cifrado Salsa20 utilizando la clave y no especificada en la configuración. También crea un archivo llamado «\ Efi \ Microsoft \ Boot \ Counter» en la partición del sistema EFI antes de iniciar el proceso de cifrado de disco de todas las particiones formatadas en NTFS. El archivo se utiliza para realizar un seguimiento de los grupos de disco ya cifrados. Además, el Bootkit actualiza el mensaje FALSO CHKDSK que se muestra en la pantalla de la víctima con información sobre el estado de cifrado actual, mientras que la víctima se engaña al pensar que el sistema está reparando errores de disco. Si el Bootkit detecta que el disco ya está encriptado (es decir, el indicador está configurado en 1), sirve una nota de rescate a la víctima, exigiéndoles que envíen $ 1,000 en bitcoin a la dirección de billetera especificada (34UNKKSGZZVF5AYBJKUA2YYYYZW89ZLWXU2). La billetera está actualmente vacía, aunque ha recibido $ 183.32 entre febrero y mayo de 2025. La pantalla Ransom Note también proporciona una opción para que la víctima ingrese la clave de engaño comprada desde el operador después de realizar el pago, después de la cual el Bootkit verifica la clave e intenta descifrar el archivo «EFI \ Microsoft \ Boot \ Verify». En caso de que se ingrese la clave correcta, el valor del indicador se establece en 2 y inicia el paso de descifrado leyendo el contenido del archivo «\ Efi \ Microsoft \ Boot \ contador». «El descifrado se detiene cuando el número de grupos descifrados es igual al valor del contador», dijo Smolár. «Durante el proceso de descifrado de MFT, el BootKit muestra el estado del proceso de descifrado actual». La fase de descifrado también implica que el BootKit que recupere los cargadores de arranque legítimos – «\ Efi \ Boot \ Bootx64.efi» y «\ Efi \ Microsoft \ Boot \ Bootmgfw.efi» – de las copias de seguridad previamente creadas durante el proceso de instalación. Una vez que se completa este paso, se le solicita a la víctima que reinicie su máquina Windows. Vale la pena señalar que los cambios en el cargador de arranque iniciados por el instalador durante la implementación del componente de Bootkit de UEFI desencadenan un bloqueo del sistema (también conocido como pantalla azul de muerte o BSOD) y asegura que el binario Bootkit se ejecute una vez que el dispositivo se enciende. Se ha encontrado que las variantes seleccionadas de HybridPetya, ESET, se han encontrado para explotar CVE -2024‑7344 (puntaje CVSS: 6.7), una vulnerabilidad de ejecución de código remoto en la aplicación HowYar Reloader UEFI («Reloader.efi», renombrado en el Artifact en el Artifact como «\ Efi \ Microsoft \ Bootmgfw.efi») que puede dar como resultado un arte de arranque en el arte. La variante también incluye un archivo especialmente elaborado llamado «Cloak.dat», que se puede cargar a través de reloader.efi y contiene el binario de Bootkit xored. Desde entonces, Microsoft ha revocado el antiguo y vulnerable binario como parte de su actualización del martes de parche para la actualización de enero de 2025. «Cuando el binario reloader.efi (implementado como bootmgfw.efi) se ejecuta durante el arranque, busca la presencia del archivo Cloak.dat en la partición del sistema EFI, y carga la aplicación UEFI integrada desde el archivo de una manera muy insegura, completamente insegura cualquier verificación de integridad, pasando por el arranque de UEFI», dijo Eset. Otro aspecto en el que hybridPetya y NotPetya difieren es que, a diferencia de las capacidades destructivas de este último, el artefacto recién identificado permite a los actores de amenaza reconstruir la clave de descifrado de las claves de instalación personal de la víctima. Los datos de telemetría de ESET no indican evidencia de que se use HybridPetya en la naturaleza. La compañía de ciberseguridad también señaló el reciente descubrimiento de una prueba de concepto de UEFI Petya (POC) por parte del investigador de seguridad Aleksandra «Hasherezade» Doniec, y agregó que es posible que pueda haber «alguna relación entre los dos casos». Sin embargo, no descarta la posibilidad de que HybridPetya también sea un POC. «HybridPetya ahora es al menos el cuarto ejemplo públicamente conocido de un Bootkit UEFI real o de prueba de concepto con la funcionalidad de bypass de arranque segura de UEFI, uniendo BlackLotus (explotando CVE-2022‑21894), bootkitty (explotando logofail) y el hyper-v retroceso (explotando CVE-2020-26200),» Said. «Esto muestra que las derivaciones seguras de arranque no son solo posibles: se están volviendo más comunes y atractivos tanto para los investigadores como para los atacantes».

sep 11, 2025Ravie LakshmanArtarificial Intelligence / Mobile Security Google anunció el martes que sus nuevos teléfonos Google Pixel 10 admiten la coalición para la procedencia y la autenticidad de contenido (C2PA) estándar de la caja para verificar el origen y la historia del contenido digital. Con ese fin, el soporte para las credenciales de contenido de C2PA se ha agregado a la cámara Pixel y las aplicaciones de Google Photos para Android. El movimiento, dijo Google, está diseñado para promover la transparencia de los medios digitales. Las credenciales de contenido de C2PA son un manifiesto digital firmado criptográfico y revelado de manipulación que proporciona procedencia verificable para contenido digital como imágenes, videos o archivos de audio. El tipo de metadatos, según Adobe, sirve como una «etiqueta de nutrición digital», dando información sobre el creador, cómo se hizo y si se generó utilizando inteligencia artificial (IA). «La aplicación de la cámara Pixel alcanzó el Nivel 2 de Garantía 2, la calificación de seguridad más alta actualmente definida por el programa C2PA Conformance», dijo los equipos de C2PA Security y C2PA Core. «El nivel de aseguramiento 2 para una aplicación móvil solo solo es posible en la plataforma Android». «Pixel 10 teléfonos admiten sellos de tiempo de confianza en el dispositivo, lo que garantiza que las imágenes capturadas con su aplicación de cámara nativa se puedan confiar después de que expire el certificado, incluso si fueron capturadas cuando su dispositivo estaba fuera de línea». La capacidad es posible utilizando una combinación de Google Tensor G5, chip de seguridad Titan M2 y características de seguridad respaldadas por hardware integradas en el sistema operativo Android. Google dijo que ha implementado C2PA para ser seguro, verificable y utilizable fuera de línea, asegurando así que los datos de procedencia sean confiables, el proceso no es identificable personalmente y funciona incluso cuando el dispositivo no está conectado a Internet. Esto se logra utilizando el certificado de la clave de Android para permitir que las autoridades de certificación de Google C2PA (CAS) verifiquen que se están comunicando con una genuina clave de la clave de Android de la clave de Android respaldada por hardware que incluyen el nombre del paquete y los certificados de firma asociados con la aplicación C2PA de la generación de C2PA que utilizan la solicitud de una solicitud de una aplicación de una aplicación de Generación y un registro de firma y que se registran y almacenan C2P de Keys de Keys utilizando C2PA y un Keys de Keys, reclamado de una aplicación registrada y que se registra y que se registra a C2P de Keys de Keys utilizando C2PA y que se reclaman la aplicación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Genador de Generación de Cinateo de Keys de Keys. StrongBox en el chip de seguridad Titan M2 para la resistencia a la resistencia de la tamper Anónimo, lo que respalda el hardware para certificar nuevas claves criptográficas generadas en el dispositivo sin saber quién está utilizando certificados únicos para firmar cada imagen, por lo que es «criptográficamente imposible» para desonimular el creador en el desarrollo, la autoridad de tiempo fuera de línea (TSA) dentro del componente de Tensor, el componente de Tensor, el chip de Tensor Tensor a generar criticado a la cría criticada de la cría criticada. Se presiona el obturador de la cámara «Las credenciales de contenido C2PA no son la única solución para identificar la procedencia de los medios digitales», dijo Google. «Sin embargo, son un paso tangible hacia una mayor transparencia y confianza de los medios a medida que continuamos desbloqueando más creatividad humana con IA».

Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial. La firma de seguridad cibernética Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiendo informes sobre la actividad renovada de ransomware Akira desde finales de julio de 2025. Sonicwall posteriormente reveló la actividad de VPN SSL dirigida a sus firewalls involucrados por un año de seguridad de un año (CVE-2024-407666666, CVSss: 9.3. durante la migración y no reiniciar. «Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas». Sonicwall también ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware AKIRA; esta configuración agrega automáticamente cada usuario LDAP autenticado con éxito a un grupo local predefinido, independientemente de su membresía real en un directorio activo. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos. Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas. Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa. «El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo. Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna. La orientación de Akira de SonicWall SSL VPNS también ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos. Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom. De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente. Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un informe publicado el mes pasado. Las recientes infecciones por ransomware de Akira también han aprovechado las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee. Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware. Según la Unidad 42 de Palo Alto Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades. Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode. «El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel del hipervisor

Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular Apple MacOS llamada ChillyHell y un troyano de acceso remoto (rata) basado en GO llamado Zynorrat que puede apuntar a los sistemas Windows y Linux. Según un análisis de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel. Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el grupo de piratería ha estado activo desde al menos octubre de 2022. Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un presunto actor de espionaje que se ha observado que compromete los sitios web de las entidades gubernamentales ucranianas para redirigir e diseñar objetivos socialmente para ejecutar Matanbuchus o Chillyhell Malware. La compañía de gestión de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware. Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, después de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75[.]252 o 148.72.172[.]53) sobre HTTP o DNS, y entra en un bucle de comando para recibir más instrucciones de sus operadores. Para configurar la persistencia, ChillyHell se instala como un lanzamiento de AGENT o un sistema de lanzamiento del sistema. Como mecanismo de respaldo, altera el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para inyectar un comando de lanzamiento en el archivo de configuración. Una táctica notable adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas. «Si no tiene un permiso suficiente para actualizar las marcas de tiempo mediante una llamada del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una cadena formateada que representa una fecha del pasado como argumento incluido al final del comando», los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt. ChillyHell admite una amplia gama de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva versión del malware, obtener cargas útiles adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una lista de contraseña predefinida retrate del servidor C2. «Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible», dijo Jamf. «Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS actual». «En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código malicioso no se firma». Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (también conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas. Compilado con GO, la versión de Linux admite una amplia gama de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios de SystemD y la ejecución de comandos arbitrarios – /fs_list, para enumerar los directores /fs_get, a los archivos de exfiltrado de los archivos de host /métricos, para realizar el comando de system, para realizar el comando «, los» PS «. Un proceso específico al pasar el PID como entrada /captura_display, para tomar capturas de pantalla /persistir, para establecer persistencia La versión de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados ​​en Linux. Esto probablemente indica que el desarrollo de la variante de Windows es un trabajo en progreso. «Su objetivo principal es servir como una herramienta de colección, exfiltración y acceso remoto, que se gestiona centralmente a través de un bot de telegrama», dijo la investigadora de Sysdig, Alessandra Rizzo. «Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima». Un análisis posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas útiles se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede haber «infectado» sus propias máquinas para probar la funcionalidad. Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, dado el lenguaje utilizado en los chats de telegrama. «Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero», dijo Rizzo. «La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en evolución del malware moderno, incluso dentro de sus primeras etapas».

sep 10, 2025Rravie Lakshmanancybersecurity / malware Un grupo avanzado de amenaza persistente (APT) de China se ha atribuido al compromiso de una compañía militar con sede en Filipinas que utiliza un marco de malware previamente innegumiado llamado Eggstreme. «Este conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar un código malicioso directamente en la memoria y aprovechar la versión lateral de DLL para ejecutar cargas útiles», dijo el investigador de Bitdefender, Bogdan Zavadovschi, en un informe compartido con las noticias del hacker. «El componente central, Eggstremeagent, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de un keylogger inyectado». La orientación de Filipinas es un patrón recurrente para los grupos de piratería patrocinados por el estado chino, particularmente a la luz de las tensiones geopolíticas alimentadas por disputas territoriales en el Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei. El proveedor de ciberseguridad rumano, que detectó signos de actividad maliciosa por primera vez a principios de 2024, describió a Eggstreme como un conjunto de componentes maliciosos bien integrados que está diseñado para establecer un «punto de apoyo resistente» en las máquinas infectadas. El punto de partida de la operación de varias etapas es una carga útil llamada Eggstremefuel («MSCorsvc.dll») que realiza el perfil del sistema y implementa Eggstremeloader para configurar la persistencia y luego ejecuta EggstremereFlectiveLoader, que, a su vez, desencadena Eggstremeage. Las funciones de EggstremeFuel se realizan abriendo un canal de comunicación activo con un comando y control (C2), permitiéndole: obtener información de la unidad iniciar cmd.exe y establecer comunicación a través de tuberías cierran graciosamente todas las conexiones y apagado leer un archivo y guardarlo en disco Leer un archivo local de una ruta dada y transmitir su contenido envía la dirección de IP externa al hacer una solicitud a mixternalip[.]COM/RAW Volcar la configuración en memoria al disco llamando a Eggstremeagent el «sistema nervioso central» del marco, la puerta trasera funciona al monitorear las nuevas sesiones de usuario e inyectar un componente de Keylogger denominado EggstremeKeylogger para cada sesión para cosechar KeyStrokes y otros datos sensibles. Se comunica con un servidor C2 utilizando el protocolo de llamada de procedimiento remoto de Google (GRPC). Admite 58 comandos impresionantes que permiten una amplia gama de capacidades para facilitar el descubrimiento local y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la escalada de privilegios, el movimiento lateral, la exfiltración de datos e inyección de la carga útil, incluido un implante auxiliar en código Eggstremewizard («Xwizards.dll»).).).). «Los atacantes usan esto para lanzar un binario legítimo que SideLoads the Malicious DLL, una técnica que abusan constantemente a lo largo de la cadena de ataque», señaló Zavadovschi. «Esta puerta trasera secundaria proporciona capacidades de acceso de shell inversa y carga de archivos/descarga. Su diseño también incorpora una lista de múltiples servidores C2, mejorando su resistencia y asegurando que la comunicación con el atacante pueda mantenerse incluso si se desconecta un servidor C2». La actividad también se caracteriza por el uso de la utilidad proxy de Stowaway para establecer una posición de red interna. Para complicar aún más la detección, es la naturaleza sin archivo del marco, lo que hace que el código malicioso se cargue y ejecute directamente en la memoria sin dejar ningún rastro en el disco. «Esto, junto con el uso intensivo de la carga lateral de DLL y el sofisticado flujo de ejecución de varias etapas, permite que el marco funcione con un perfil bajo, por lo que es una amenaza significativa y persistente», dijo Bitdefender. «La familia de malware Eggstreme es una amenaza altamente sofisticada y múltiple diseñada para lograr un acceso persistente, movimiento lateral y exfiltración de datos. El actor de amenaza demuestra una comprensión avanzada de las técnicas defensivas modernas mediante el empleo de una variedad de tácticas para evadir la detección».

sep 10, 2025Ravie Lakshmananvulnerabilidad / seguridad de software Adobe advirtió sobre una falla de seguridad crítica en sus plataformas de comercio y código abierto de Magento que, si se explotan con éxito, podrían permitir a los atacantes tomar el control de las cuentas de los clientes. La vulnerabilidad, rastreada como CVE-2025-54236 (también conocida como SessionReaper), conlleva una puntuación CVSS de 9.1 de un máximo de 10.0. Se ha descrito como una falla de validación de entrada inadecuada. Adobe dijo que no es consciente de ninguna hazaña en la naturaleza. «Un posible atacante podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de comercio REST», dijo Adobe en un aviso emitido hoy. El problema impacta los siguientes productos y versiones: Adobe Commerce (todos los métodos de implementación): 2.4.9-Alpha2 y anteriores 2.4.8-P2 y anteriores 2.4.7-P7 y anteriores 2.4.6-P12 y anteriores 2.4.5-p14 y 2.4.4-p15 y Adobe Commerce B2B: 1.5.3-alfa2 y más temprano 1. 1.3.3-P15 y Magento Open Open: 2.4.9-Alpha2 y anteriormente 2.4.8-P2 y anteriores 2.4.7-P7 y 2.4.6-p12 y anteriores 2.4.5-P14 y atributos anteriores de los atributos del módulo serializable: Adobe, además de lanzar un hotfix para los comerciantes de la vulnerabilidad, dicho que ha implementado las reglas de aplicaciones de aplicaciones (WAF) a los entornos de protección contra los entornos de explotación de explotación de la expulsión de la vulnerabilidad. Comercio sobre infraestructura en la nube. «SessionReaper es una de las vulnerabilidades magento más severas en su historia, comparable a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)», dijo la compañía de seguridad de comercio electrónico Sansec. La firma de los Países Bajos dijo que reprodujo con éxito una posible forma de explotar CVE-2025-54236, pero señaló que hay otras posibles vías para armarse la vulnerabilidad. «La vulnerabilidad sigue un patrón familiar del ataque Cosmicsting del año pasado», agregó. «El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento». «El vector de ejecución de código remoto específico parece requerir el almacenamiento de la sesión basado en archivos. Sin embargo, recomendamos que los comerciantes que usan Redis o sesiones de base de datos también tomen medidas inmediatas, ya que hay múltiples formas de abusar de esta vulnerabilidad». Adobe también ha enviado correcciones para contener una vulnerabilidad transversal de ruta crítica en ColdFusion (CVE-2025-54261, CVSS Puntuación: 9.0) que podría conducir a una escritura arbitraria del sistema de archivos. Impacta ColdFusion 2021 (actualización 21 y anterior), 2023 (actualización 15 y anterior) y 2025 (actualización 3 y anterior) en todas las plataformas.

Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de envío directo de Microsoft para formar una «tubería de ataque altamente eficiente» en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest. «La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados», dijo la compañía de seguridad cibernética en un informe compartido con Hacker News. «De 32 agentes de usuario marcados observados en este plazo, Axios representó el 24.44% de toda la actividad». El abuso de Axios fue marcado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para enviar solicitudes HTTP y recibir respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365. Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la herramienta se explota regularmente junto con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación», agregó la compañía. Del mismo modo, las campañas de phishing también se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado envío directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico. Al amplificar el abuso de Axios a través del envío directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para garantizar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha encontrado que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con «eficiencia incomparable». Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antes de ampliar su enfoque para atacar a todos los usuarios. Llamando al enfoque que cambia el juego para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que también les permite montar las operaciones de phishing a una escala sin precedentes. En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo real o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener acceso a recursos sensibles. «Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos». Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para facilitar el robo de credenciales. Como una capa adicional de evasión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de desarrollo de aplicaciones. Además de reducir la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores también significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y volar bajo el radar. Para mitigar el riesgo planteado por esta amenaza, se aconseja a las organizaciones que obtengan el envío directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para reconocer los correos electrónicos de phishing y bloquear los dominios sospechosos. «Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el acceso inicial y la explotación a gran escala. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de manera que son escalables y precisos». «Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de envío directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar». El desarrollo se produce cuando Mimecast detalló una campaña de recolección de credenciales a gran escala dirigida a profesionales de la industria hotelera al hacerse pasar por plataformas de gestión de hoteles de confianza. «Esta operación de recolección de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles». Los hallazgos también siguen el descubrimiento de una campaña en curso que ha empleado una oferta naciente de phishing as-a-Service (PHAAS) llamada Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens. La cadena de ataque es notable por aprovechar servicios como AHA[.]IO para organizar páginas de destino iniciales que se disfrazan de notificaciones para compartir por correo electrónico para engañar a los destinatarios de correo electrónico y engañarlos para que hagan clic en enlaces falsos que redirigen a las páginas de cosecha de credenciales, pero no antes de completar una verificación de verificación de tendencia de CloudFlare para filtrar herramientas y lijados automatizados de seguridad. Las páginas de phishing también incluyen otras características avanzadas como geofencing y filtrado de IP para bloquear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la nube, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de análisis. Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de grado empresarial, utilizando tácticas de evasión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas. «El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El análisis técnico revela que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas». «Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la línea entre el tráfico legítimo y malicioso».