Etiqueta: noticias de seguridad cibernética hoy Página 3 de 7

Las soluciones en la nube son más comunes y, por lo tanto, más expuestas que nunca. Solo en 2023, un asombroso 82 % de las filtraciones de datos se produjeron en entornos de nube pública, privada o híbrida. Es más, casi el 40% de las infracciones abarcaron múltiples entornos de nube. El costo promedio de una vulneración de la nube estuvo por encima del promedio general, con 4,75 millones de dólares. En una época en la que la nube se ha convertido en el estándar de facto –con el 65% de los tomadores de decisiones de TI confirmando que los servicios basados ​​en la nube son su primera opción al actualizar o comprar nuevas soluciones–, a pesar de su abrumadora prominencia, la seguridad en la nube aún enfrenta múltiples desafíos. Desafíos de seguridad en la nube Un obstáculo importante es la falta de visibilidad. A diferencia de los servidores físicos que se pueden ver y tocar, los recursos de la nube suelen estar distribuidos en vastas redes, lo que dificulta el seguimiento de actividades sospechosas y deja vulnerabilidades sin detectar. Otro desafío es la inconsistencia entre los sistemas de gestión de permisos de los proveedores de la nube. Los diferentes proveedores tienen diferentes controles sobre quién puede acceder y modificar los datos. Esta inconsistencia crea complejidad y aumenta el riesgo de configuraciones erróneas accidentales, que son una de las principales causas de infracciones. Además, con múltiples equipos involucrados en las implementaciones de la nube (desarrollo, operaciones, seguridad), la propiedad y la responsabilidad claras sobre la seguridad de la nube pueden resultar borrosas. Esta falta de coordinación puede llevar a situaciones en las que se pasan por alto o se pasan por alto las mejores prácticas de seguridad. Además, muchos ataques se trasladan a través de la nube a entornos locales y viceversa, lo que puede poner en riesgo ambos entornos. Todos estos desafíos resaltan la necesidad urgente de soluciones sólidas de seguridad en la nube que brinden visibilidad integral, gestión de permisos estandarizada y líneas de responsabilidad claras. Sin embargo, los recursos de seguridad son escasos incluso en los equipos mejor equipados, y se espera que los equipos de seguridad en la nube investiguen y remedien miles de exposiciones que tal vez no todas tengan el mismo impacto en los recursos críticos. Esto genera incertidumbre sobre qué solucionar primero y cómo abordar realmente todas las exposiciones identificadas, dejando los entornos de nube expuestos a ataques cibernéticos. La gestión continua de la exposición es esencial En lugar de perseguir innumerables vulnerabilidades, los equipos de seguridad deben priorizar las más críticas. Esto significa poder identificar rápidamente las rutas de ataque más peligrosas y tomar medidas preventivas contra los métodos de ataque avanzados en la nube. Al centrarse en áreas de alto riesgo, los equipos de seguridad en la nube pueden crear planes de remediación específicos que eviten ataques importantes, agilicen los flujos de trabajo e informen con precisión sobre amenazas reales en múltiples entornos de nube. La clave para lograrlo es la Gestión Continua de la Exposición a Amenazas (CTEM), un programa o marco proactivo y continuo de cinco etapas que reduce la exposición a los ciberataques. Introducido por primera vez por Gartner en 2022, CTEM ha demostrado ser esencial para prevenir ataques de alto impacto, mejorar la eficiencia de la remediación e informar sobre riesgos reales. Deje de permitir que los piratas informáticos jueguen a conectar los puntos con la seguridad de su nube. Descubra el mapa secreto que no quieren que tenga en nuestro libro electrónico: ‘El poder de las rutas de ataque en la nube’ Aprenda a visualizar, interceptar y proteger su fortaleza digital como nunca antes. CTEM se introdujo para resolver el problema de las listas interminables de exposiciones, y más específicamente de vulnerabilidades, en entornos locales. No poder resaltar y corregir las exposiciones que son más críticas deja a los equipos de seguridad arreglando CVE que pueden o no ser explotables o impactantes en su entorno específico. En entornos de múltiples nubes, las listas de vulnerabilidades pueden ser más cortas, pero junto con las configuraciones erróneas y el acceso altamente privilegiado, se suman a una larga lista de exposiciones que los atacantes pueden utilizar para violar el entorno de múltiples nubes y que los equipos de seguridad deben abordar. La única forma de bloquear los ataques es identificando y solucionando las exposiciones que tienen mayor impacto en su negocio. Eso requiere adoptar el marco CTEM en el entorno de la nube. Solucione lo que importa en múltiples nubes Para ayudar a los equipos de seguridad de la nube a solucionar lo que importa y bloquear ataques de alto impacto en entornos de múltiples nubes, un programa CTEM integral resaltará las entidades más impactantes que pueden comprometer los recursos de la nube. Estas soluciones identifican los recursos de la nube que pueden verse comprometidos y descubren todas las exposiciones que los atacantes pueden utilizar para comprometerlos. Mapear las rutas de ataque que los atacantes podrían explotar ayuda a priorizar y validar las exposiciones más impactantes que son explotables en el entorno de múltiples nubes para abordarlas primero. Por ejemplo, adoptar la perspectiva del atacante permite identificar los principales puntos críticos. Los puntos críticos son debilidades críticas en las defensas de la nube, donde múltiples rutas de ataque convergen en una sola exposición. Los atacantes pueden vulnerarlos fácilmente y luego acceder a una amplia red de recursos: bases de datos, computadoras, controles de identidad y más. Al priorizar estas áreas de alto impacto, los equipos de seguridad se centran en los objetivos más atractivos para los atacantes, maximizando el retorno de sus esfuerzos de seguridad. Los puntos críticos comunes incluyen sistemas conectados a Internet y cuentas de acceso no utilizadas. Abordarlos reduce significativamente la superficie de ataque, fortaleciendo efectivamente todo su entorno de nube. Ejemplo de Cloud Choke Point que muestra rutas de ataque entrantes y salientes Otro ejemplo de exposición de alto impacto proviene de un acceso predefinido con privilegios elevados. Las cuentas con privilegios elevados, como los administradores predefinidos, se consideran activos de «fin del juego». Si se ven comprometidos, los atacantes pueden causar estragos. Tener un enfoque integral de CTEM ayuda a identificar estas cuentas y descubrir debilidades que podrían dejarlas vulnerables. Esto incluye detectar el acceso de administrador sin autenticación multifactor (MFA) o cuentas de servicio no utilizadas, esencialmente; debilidades que a los atacantes les encantaría explotar. Para garantizar que se aborden las exposiciones críticas, las soluciones avanzadas de gestión de exposiciones brindan orientación y alternativas de remediación. La mayoría de las veces, las cuentas con privilegios elevados o los recursos conectados a Internet no se pueden restringir, pero analizar la ruta de ataque que conduce a ellos permite encontrar una solución que reduzca su explotabilidad y, por tanto, su nivel de riesgo. Detener los ataques en entornos híbridos Los atacantes no están limitados por los entornos híbridos y los defensores deben asegurarse de que tampoco estén limitados. Las soluciones que analizan rutas de ataque híbridas, en entornos locales y de múltiples nubes, permiten a los equipos de seguridad ir un paso por delante de los ataques, entendiendo exactamente dónde están expuestos a las amenazas cibernéticas. Estas herramientas brindan detalles completos sobre posibles puntos de infracción, técnicas de ataque, uso de permisos y alternativas de reparación para ayudar a los clientes a abordar estas exposiciones y bloquear las rutas de ataque más críticas. Ejemplo de ruta de ataque híbrido entre MS Active Directory y AWS Resumen Si bien la seguridad tradicional en la nube lucha contra el volumen de exposiciones siempre presentes, CTEM ofrece un plan de remediación viable al centrarse en los más críticos en un entorno específico. El enfoque correcto para CTEM abarca la nube local y la nube múltiple, abarcando todo su panorama de TI. Este enfoque holístico elimina los puntos ciegos y permite a las organizaciones realizar la transición de una defensa reactiva a una proactiva. Al adoptar CTEM, las organizaciones pueden garantizar su éxito en el futuro basado en la nube. Nota: Este artículo contribuido por expertos está escrito por Zur Ulianitzky, vicepresidente de investigación de seguridad de XM Cyber. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de abril de 2024Sala de prensaSeguridad/vulnerabilidad del firmware El código malicioso insertado en la biblioteca de código abierto XZ Utils, un paquete ampliamente utilizado presente en las principales distribuciones de Linux, también es capaz de facilitar la ejecución remota de código, según reveló un nuevo análisis. El audaz compromiso de la cadena de suministro, rastreado como CVE-2024-3094 (puntaje CVSS: 10.0), salió a la luz la semana pasada cuando el ingeniero de Microsoft y desarrollador de PostgreSQL, Andrés Freund, alertó sobre la presencia de una puerta trasera en la utilidad de compresión de datos que brinda a los atacantes remotos una forma de eludir la autenticación de shell segura y obtener acceso completo a un sistema afectado. XZ Utils es una herramienta de línea de comandos para comprimir y descomprimir datos en Linux y otros sistemas operativos similares a Unix. Se dice que el código malicioso fue introducido deliberadamente por uno de los mantenedores del proyecto llamado Jia Tan (también conocido como Jia Cheong Tan o JiaT75) en lo que parece ser un ataque meticuloso que duró varios años. La cuenta de usuario de GitHub se creó en 2021. Actualmente se desconoce la identidad de los actores. «El actor de amenazas comenzó a contribuir al proyecto XZ hace casi dos años, ganando credibilidad lentamente hasta que se le dieron responsabilidades de mantenimiento», dijo Akamai en un informe. En un acto adicional de ingeniería social inteligente, se cree que cuentas de títeres como Jigar Kumar y Dennis Ens se utilizaron para enviar solicitudes de funciones e informar una variedad de problemas en el software con el fin de obligar al mantenedor original: Lasse Collin del Proyecto Tukaani. – para agregar un nuevo co-mantenedor al repositorio. Ingrese Jia Tan, quien introdujo una serie de cambios en XZ Utils en 2023, que finalmente lograron lanzar la versión 5.6.0 en febrero de 2024. También albergaban una puerta trasera sofisticada. «Como insinué en correos electrónicos anteriores, Jia Tan puede tener un papel más importante en el proyecto en el futuro», dijo Collin en un intercambio con Kumar en junio de 2022. «Ha estado ayudando mucho fuera de la lista y es prácticamente un compañero». -Mantenedor ya. 🙂 Sé que no ha sucedido mucho en el repositorio de Git todavía, pero las cosas suceden en pequeños pasos. En cualquier caso, ya se están realizando algunos cambios en el mantenimiento, al menos para XZ Utils. » La puerta trasera afecta a los tarballs de versión XZ Utils 5.6.0 y 5.6.1, el último de los cuales contiene una versión mejorada del mismo implante. Desde entonces, Collins ha reconocido la violación del proyecto, afirmando que ambos archivos comprimidos fueron creados y firmados por Jia Tan y que solo tenían acceso al repositorio GitHub ahora deshabilitado. «Esta es claramente una operación muy compleja patrocinada por el Estado con una sofisticación impresionante y una planificación plurianual», dijo la empresa de seguridad de firmware Binarly. «Un marco de implantación integral tan complejo y diseñado profesionalmente no está desarrollado para una operación de una sola vez». Un examen más profundo de la puerta trasera realizado por el criptógrafo de código abierto Filippo Valsorda también ha revelado que las versiones afectadas permiten a atacantes remotos específicos enviar cargas útiles arbitrarias a través de un certificado SSH que se ejecutará de manera que eluda los protocolos de autenticación, tomando efectivamente el control sobre la víctima. máquina. «Parece como si la puerta trasera se hubiera añadido al demonio SSH en la máquina vulnerable, permitiendo a un atacante remoto ejecutar código arbitrario», dijo Akamai. «Esto significa que cualquier máquina con el paquete vulnerable que expone SSH a Internet es potencialmente vulnerable». No hace falta decir que el descubrimiento accidental por parte de Freund es uno de los ataques a la cadena de suministro más importantes descubiertos hasta la fecha y podría haber sido un grave desastre de seguridad si el paquete se hubiera integrado en versiones estables de distribuciones de Linux. «La parte más notable de este ataque a la cadena de suministro son los niveles extremos de dedicación del atacante, que trabajó más de dos años para establecerse como un mantenedor legítimo, se ofreció a trabajar en varios proyectos OSS y comprometió código en múltiples proyectos para para evitar la detección», dijo JFrog. Al igual que en el caso de Apache Log4j, el incidente vuelve a poner de relieve la dependencia del software de código abierto y de los proyectos gestionados por voluntarios, y las consecuencias que podrían conllevar si sufrieran un compromiso o tuvieran una vulnerabilidad importante. «La ‘solución’ más importante es que las organizaciones adopten herramientas y procesos que les permitan identificar signos de manipulación y características maliciosas tanto en el código abierto como en el código comercial utilizado en su propio proceso de desarrollo», dijo ReversingLabs. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de abril de 2024Sala de prensaCriptomonedas/fraude financiero El gobierno indio dijo que rescató y repatrió a unos 250 ciudadanos en Camboya que estaban cautivos y obligados a realizar estafas cibernéticas. Los ciudadanos indios «fueron atraídos con oportunidades de empleo a ese país, pero se vieron obligados a realizar trabajos cibernéticos ilegales», dijo el Ministerio de Asuntos Exteriores (MEA) en un comunicado, añadiendo que había rescatado a 75 personas en los últimos tres meses. También dijo que está trabajando «con las autoridades camboyanas y con agencias en la India para tomar medidas enérgicas contra los responsables de estos planes fraudulentos». El acontecimiento se produce a raíz de un informe del Indian Express que decía que más de 5.000 indios atrapados en Camboya fueron obligados a la «esclavitud cibernética» por el crimen organizado para estafar a la gente en la India y extorsionar dinero haciéndose pasar por autoridades encargadas de hacer cumplir la ley en algunos casos. . El informe también sigue una revelación anterior de INTERPOL, que caracterizó la situación como un fraude a escala industrial impulsado por la trata de personas. Entre ellos se encontraba un contador del estado de Telangana, que fue «atraído al Sudeste Asiático, donde lo obligaron a participar en esquemas de fraude en línea en condiciones inhumanas». Posteriormente lo dejaron en libertad tras pagar un rescate. En otro caso destacado por el Indian Express, uno de los hombres rescatados fue reclutado por un agente de la ciudad de Mangaluru, en el sur de la India, para un trabajo de ingreso de datos, solo para pedirle que creara cuentas falsas en las redes sociales con fotografías de mujeres y las usara para contactar personas. «Teníamos objetivos y si no los cumplíamos, no nos darían comida ni nos permitirían entrar a nuestras habitaciones», dijo el individuo, identificado sólo como Stephen. China y Filipinas han emprendido esfuerzos similares para liberar a cientos de filipinos, chinos y otros ciudadanos extranjeros que fueron atrapados y obligados a realizar actividades delictivas, ejecutando lo que se llama estafas de matanza de cerdos. Estos esquemas generalmente comienzan cuando el estafador adopta una identidad falsa para atraer a posibles víctimas a invertir en negocios criptográficos inexistentes que están diseñados para robar sus fondos. Se sabe que los estafadores se ganan la confianza de su objetivo bajo la ilusión de una relación romántica. En un informe publicado en febrero de 2024, Chainalysis dijo que las billeteras de criptomonedas asociadas con una de las bandas de matadores de cerdos que operan en Myanmar han registrado cerca de 100 millones de dólares en entradas de criptomonedas, algunas de las cuales también se estima que incluyen los pagos de rescate realizados por las familias. de trabajadores víctimas de trata. «Las brutales condiciones que enfrentan las víctimas de la trata en los complejos también otorgan una urgencia adicional a la solución del problema de las estafas románticas: no solo se estafa a los consumidores cientos de millones de dólares cada año, sino que las pandillas detrás de esas estafas también están perpetuando una crisis humanitaria. «, dijo la firma de análisis blockchain. Las noticias sobre los esfuerzos de rescate también surgen tras una investigación de Check Point de que los actores de amenazas están explotando una función en Ethereum llamada CREATE2 para eludir las medidas de seguridad y obtener acceso no autorizado a los fondos. Los detalles de la estafa fueron revelados previamente por Scam Sniffer en noviembre de 2023. El quid de la técnica es el uso de CREATE2 para generar una nueva dirección de billetera «temporal» que no tiene antecedentes de haber sido reportada por actividad criminal, lo que permite a los actores de amenazas hacer las transacciones ilícitas a la dirección una vez que la víctima aprueba el contrato y eludir las protecciones que señalan dichas direcciones. «El método de ataque implica engañar a los usuarios para que aprueben transacciones de contratos inteligentes que aún no se han implementado, lo que permite a los ciberdelincuentes implementar posteriormente contratos maliciosos y robar criptomonedas», dijo la compañía israelí. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

El troyano bancario de Android conocido como Vultur ha resurgido con un conjunto de nuevas características y técnicas mejoradas de evasión de detección y antianálisis, lo que permite a sus operadores interactuar de forma remota con un dispositivo móvil y recopilar datos confidenciales. «Vultur también ha comenzado a enmascarar más actividad maliciosa cifrando su comunicación C2, utilizando múltiples cargas útiles cifradas que se descifran sobre la marcha y utilizando la apariencia de aplicaciones legítimas para llevar a cabo sus acciones maliciosas», dijo el investigador del Grupo NCC, Joshua Kamp, en un informe publicado la semana pasada. Vultur se reveló por primera vez a principios de 2021 y el malware era capaz de aprovechar las API de servicios de accesibilidad de Android para ejecutar sus acciones maliciosas. Se ha observado que el malware se distribuye a través de aplicaciones de cuentagotas troyanizadas en Google Play Store, haciéndose pasar por aplicaciones de autenticación y productividad para engañar a los usuarios involuntarios para que las instalen. Estas aplicaciones de cuentagotas se ofrecen como parte de una operación de cuentagotas como servicio (DaaS) llamada Brunhilda. Otras cadenas de ataques, como observó NCC Group, implican que los droppers se propaguen mediante una combinación de mensajes SMS y llamadas telefónicas (una técnica llamada entrega de ataques orientados por teléfono (TOAD)) para, en última instancia, ofrecer una versión actualizada del malware. «El primer mensaje SMS guía a la víctima hacia una llamada telefónica», dijo Kamp. Cuando la víctima llama al número, el estafador le proporciona un segundo SMS que incluye el enlace al cuentagotas: una versión modificada del [legitimate] Aplicación McAfee Security». El mensaje SMS inicial tiene como objetivo inducir una falsa sensación de urgencia al indicar a los destinatarios que llamen a un número para autorizar una transacción inexistente que involucra una gran suma de dinero. Tras la instalación, el dropper malicioso ejecuta tres cargas útiles relacionadas (dos APK y un archivo DEX) que registran el bot con el servidor C2, obtienen permisos de servicios de accesibilidad para acceso remoto a través de AlphaVNC y ngrok, y ejecutan comandos obtenidos del servidor C2. Una de las adiciones destacadas a Vultur es la capacidad de acceder de forma remota interactuar con el dispositivo infectado, lo que incluye hacer clic, desplazarse y deslizarse, a través de los servicios de accesibilidad de Android, así como descargar, cargar, eliminar, instalar y buscar archivos. Además, el malware está equipado para evitar que las víctimas interactúen con una lista predefinida de aplicaciones, mostrar notificaciones personalizadas en la barra de estado e incluso desactivar Keyguard para evitar las medidas de seguridad de la pantalla de bloqueo. «Los desarrollos recientes de Vultur han mostrado un cambio en el enfoque hacia maximizar el control remoto sobre los dispositivos infectados», dijo Kamp. «Con la capacidad de emitir comandos para desplazarse, gestos de deslizamiento, clics, control de volumen, bloquear la ejecución de aplicaciones e incluso incorporar funcionalidad de administrador de archivos, está claro que el objetivo principal es obtener un control total sobre los dispositivos comprometidos». El desarrollo se produce cuando Team Cymru reveló la transición del troyano bancario Octo (también conocido como Coper) para Android a una operación de malware como servicio, ofreciendo sus servicios a otros actores de amenazas para realizar robo de información. «El malware ofrece una variedad de características avanzadas, incluyendo registro de teclas, interceptación de mensajes SMS y notificaciones automáticas, y control sobre la pantalla del dispositivo», dijo la compañía. «Emplea varias inyecciones para robar información confidencial, como contraseñas y credenciales de inicio de sesión, mostrando pantallas o superposiciones falsas. Además, utiliza VNC (Virtual Network Computing) para acceso remoto a dispositivos, mejorando sus capacidades de vigilancia». Se estima que las campañas de Octo han comprometido 45.000 dispositivos, principalmente en Portugal, España, Turquía y Estados Unidos. Algunas de las otras víctimas se encuentran en Francia, Países Bajos, Canadá, India y Japón. Los hallazgos también surgen tras la aparición de una nueva campaña dirigida a usuarios de Android en India que distribuye paquetes APK maliciosos que se hacen pasar por servicios de reserva, facturación y mensajería en línea a través de una oferta de malware como servicio (MaaS). El malware «tiene como objetivo el robo de información bancaria, mensajes SMS y otra información confidencial de los dispositivos de las víctimas», dijo Symantec, propiedad de Broadcom, en un boletín. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaSeguridad de red/Seguridad de IoT Se ha observado que una botnet que anteriormente se consideraba inerte esclaviza enrutadores de hogares y oficinas pequeñas (SOHO) y dispositivos de IoT al final de su vida útil (EoL) para alimentar un servicio de proxy criminal llamado Sin rostro. «TheMoon, que surgió en 2014, ha estado funcionando silenciosamente mientras crecía hasta alcanzar más de 40.000 bots de 88 países en enero y febrero de 2024», dijo el equipo de Black Lotus Labs en Lumen Technologies. Faceless, detallado por el periodista de seguridad Brian Krebs en abril de 2023, es un servicio de proxy residencial malicioso que ofrece sus servicios de anonimato a otros actores de amenazas por una tarifa insignificante que cuesta menos de un dólar por día. Al hacerlo, permite a los clientes dirigir su tráfico malicioso a través de decenas de miles de sistemas comprometidos anunciados en el servicio, ocultando efectivamente sus verdaderos orígenes. Se ha evaluado que la infraestructura respaldada por Faceless es utilizada por operadores de malware como SolarMarker e IcedID para conectarse a sus servidores de comando y control (C2) para ofuscar sus direcciones IP. Dicho esto, la mayoría de los bots se utilizan para la pulverización de contraseñas y/o la filtración de datos, principalmente dirigidos al sector financiero, con más del 80% de los hosts infectados ubicados en los EE. UU. Lumen dijo que observó por primera vez la actividad maliciosa a finales de 2023. , el objetivo es violar los enrutadores EoL SOHO y los dispositivos IoT e implementar una versión actualizada de TheMoon y, en última instancia, inscribir la botnet en Faceless. Los ataques implican soltar un cargador que es responsable de obtener un ejecutable ELF desde un servidor C2. Esto incluye un módulo de gusano que se propaga a otros servidores vulnerables y otro archivo llamado «.sox» que se utiliza para enviar el tráfico desde el bot a Internet en nombre de un usuario. Además, el malware configura reglas de iptables para descartar el tráfico TCP entrante en los puertos 8080 y 80 y permitir el tráfico desde tres rangos de IP diferentes. También intenta ponerse en contacto con un servidor NTP de una lista de servidores NTP legítimos en un probable esfuerzo por determinar si el dispositivo infectado tiene conectividad a Internet y no se está ejecutando en una zona de pruebas. El objetivo de fabricar la botnet contra dispositivos EoL no es una coincidencia, ya que ya no cuentan con el soporte del fabricante y se vuelven susceptibles a vulnerabilidades de seguridad con el tiempo. También es posible que los dispositivos sean infiltrados mediante ataques de fuerza bruta. Un análisis adicional de la red proxy ha revelado que más del 30% de las infecciones duraron más de 50 días, mientras que alrededor del 15% de los dispositivos formaron parte de la red durante 48 horas o menos. «Faceless se ha convertido en un formidable servicio proxy que surgió de las cenizas del servicio de anonimato ‘iSocks’ y se ha convertido en una herramienta integral para que los ciberdelincuentes confundan su actividad», dijo la compañía. «TheMoon es el principal, si no el único, proveedor de bots para el servicio de proxy Faceless». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaLinux/Ataque a la cadena de suministro Red Hat lanzó el viernes una «alerta de seguridad urgente» advirtiendo que dos versiones de una popular biblioteca de compresión de datos llamada XZ Utils (anteriormente LZMA Utils) tienen una puerta trasera con código malicioso diseñado para permitir ataques no autorizados. acceso remoto. El compromiso de la cadena de suministro de software, rastreado como CVE-2024-3094, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. Afecta a las versiones 5.6.0 de XZ Utils (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo). «A través de una serie de ofuscaciones complejas, el proceso de construcción de liblzma extrae un archivo objeto prediseñado de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma», dijo la filial de IBM en un aviso. «Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca». Específicamente, el código nefasto incorporado en el código está diseñado para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del paquete de software systemd, y potencialmente permitir que un actor de amenazas rompa la autenticación sshd y obtenga acceso no autorizado al sistema de forma remota «bajo las circunstancias adecuadas.» Al investigador de seguridad de Microsoft, Andrés Freund, se le atribuye el mérito de descubrir e informar el problema el viernes. Se dice que el código malicioso fuertemente ofuscado fue introducido durante una serie de cuatro confirmaciones en el Proyecto Tukaani en GitHub por un usuario llamado Jia Tan (JiaT75). «Dada la actividad de varias semanas, el responsable de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema», dijo Freund. «Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘correcciones'». Desde entonces, GitHub, propiedad de Microsoft, ha desactivado el repositorio XZ Utils mantenido por el Proyecto Tukaani «debido a una violación de los términos de servicio de GitHub». «. Actualmente no hay informes de explotación activa en la naturaleza. La evidencia muestra que los paquetes solo están presentes en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux y SUSE Linux Enterprise y Leap. Por precaución, se ha recomendado a los usuarios de Fedora Linux 40 que bajen a una versión 5.4. Algunas de las otras distribuciones de Linux afectadas por el ataque a la cadena de suministro se encuentran a continuación: El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir su propia alerta, instando a los usuarios a degradar XZ Utils a una versión no comprometida (por ejemplo, XZ Utils 5.4.6 Estable). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaMalware/Criptomonedas Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigidos a usuarios de Apple macOS. Los continuos ataques de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, dijo Jamf Threat Labs en un informe publicado el viernes. Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirven al malware. «Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Sólo se puede acceder a través de un enlace patrocinado generado , presumiblemente para evadir la detección». El archivo de imagen de disco descargado del sitio web falsificado («ArcSetup.dmg») entrega Atomic Stealer, que se sabe que solicita a los usuarios que ingresen sus contraseñas del sistema a través de un mensaje falso y, en última instancia, facilita el robo de información. Jamf dijo También descubrió un sitio web falso llamado Meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas. Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada AppleScript para llevar a cabo sus acciones maliciosas. Se dice que los ataques que aprovechan este malware se acercaron a las víctimas con el pretexto de discutir oportunidades laborales y entrevistarlas para un podcast, pidiéndoles posteriormente que descargaran una aplicación de Meethub.[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión. «Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes», dijeron los investigadores. «Aquellos en la industria deben ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria». El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones. Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema. «Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk. El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de técnicas sofisticadas antivirtualización al activar un interruptor de apagado autodestructivo para evadir la detección. En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan el cargador FakeBat (también conocido como EugenLoader) y otros ladrones de información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaIngeniería inversa/seguridad RFID Las vulnerabilidades de seguridad descubiertas en las cerraduras electrónicas RFID Saflok de Dormakaba utilizadas en hoteles podrían ser utilizadas como armas por actores de amenazas para falsificar tarjetas de acceso y entrar sigilosamente en habitaciones cerradas. Las deficiencias han sido denominadas colectivamente Unsaflok por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell y Will Caruana. Se informaron a la empresa con sede en Zurich en septiembre de 2022. «Cuando se combinan, las debilidades identificadas permiten a un atacante desbloquear todas las habitaciones de un hotel utilizando un solo par de tarjetas de acceso falsificadas», dijeron. Se han retenido todos los detalles técnicos sobre las vulnerabilidades, considerando el impacto potencial, y se espera que se hagan públicos en el futuro. Los problemas afectan a más de tres millones de cerraduras de hoteles repartidas en 13.000 propiedades en 131 países. Esto incluye los modelos Saflok MT y los dispositivos de las series Quantum, RT, Saffire y Confidant, que se utilizan en combinación con el software de gestión System 6000, Ambiance y Community. Se estima que Dormakaba ha actualizado o reemplazado el 36% de las cerraduras afectadas en marzo de 2024 como parte de un proceso de implementación que comenzó en noviembre de 2023. Algunas de las cerraduras vulnerables han estado en uso desde 1988. «Un atacante solo necesita leer una tarjeta de acceso de la propiedad para realizar el ataque contra cualquier puerta de la propiedad», dijeron los investigadores. «Esta tarjeta de acceso puede ser de su propia habitación, o incluso una tarjeta de acceso caducada extraída de la caja de recogida de pago exprés». Las tarjetas falsificadas se pueden crear utilizando cualquier tarjeta MIFARE Classic o cualquier herramienta de lectura y escritura RFID disponible comercialmente que sea capaz de escribir datos en estas tarjetas. Alternativamente, se pueden usar Proxmark3, Flipper Zero o incluso un teléfono Android con capacidad NFC en lugar de las tarjetas. En declaraciones a Andy Greenberg de WIRED, los investigadores dijeron que el ataque implica leer un determinado código de esa tarjeta y crear un par de tarjetas de acceso falsificadas utilizando el método antes mencionado: una para reprogramar los datos de la cerradura y otra para abrirla descifrando la función de derivación de claves de Dormakaba. (KDF) sistema de cifrado. «Dos golpes rápidos y abrimos la puerta», dijo Wouters. Otro paso crucial implica aplicar ingeniería inversa a los dispositivos de programación de cerraduras distribuidos por Dormakaba a los hoteles y al software de recepción para administrar las tarjetas de acceso, lo que permitió a los investigadores falsificar una llave maestra que pudiera usarse para abrir cualquier habitación. Actualmente no hay ningún caso confirmado de explotación de estos problemas en la naturaleza, aunque los investigadores no descartan la posibilidad de que otras personas hayan descubierto o utilizado las vulnerabilidades. «Es posible detectar ciertos ataques auditando los registros de entrada/salida de la cerradura», agregaron. «El personal del hotel puede auditar esto a través del dispositivo HH6 y buscar registros de entrada/salida sospechosos. Debido a la vulnerabilidad, los registros de entrada/salida podrían atribuirse a la tarjeta de acceso o al miembro del personal incorrecto». La divulgación se produce tras el descubrimiento de tres vulnerabilidades de seguridad críticas en los dispositivos de registro electrónico (ELD) de uso común en la industria del transporte que podrían utilizarse como armas para permitir el control no autorizado de los sistemas de los vehículos y manipular los datos y las operaciones de los vehículos de forma arbitraria. Aún más preocupante es que una de las fallas podría allanar el camino para la aparición de un gusano que se autopropaga de camión a camión, lo que podría provocar interrupciones generalizadas en las flotas comerciales y provocar graves consecuencias para la seguridad. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de redacción Ataque a la cadena de suministro/Inteligencia de amenazas Los mantenedores del repositorio Python Package Index (PyPI) suspendieron brevemente los registros de nuevos usuarios luego de una afluencia de proyectos maliciosos cargados como parte de una campaña de typosquatting. Dijo que «la creación de nuevos proyectos y el registro de nuevos usuarios» se detuvieron temporalmente para mitigar lo que dijo que era una «campaña de carga de malware». El incidente se resolvió 10 horas después, el 28 de marzo de 2024, a las 12:56 pm UTC. La firma de seguridad de la cadena de suministro de software Checkmarx dijo que los actores de amenazas no identificados detrás de la inundación del repositorio apuntaban a los desarrolladores con versiones con errores tipográficos de paquetes populares. «Este es un ataque de múltiples etapas y la carga maliciosa tiene como objetivo robar billeteras criptográficas, datos confidenciales de los navegadores (cookies, datos de extensiones, etc.) y varias credenciales», dijeron los investigadores Yehuda Gelb, Jossef Harush Kadouri y Tzachi Zornstain. «Además, la carga maliciosa empleó un mecanismo de persistencia para sobrevivir a los reinicios». Los hallazgos también fueron corroborados de forma independiente por Mend.io, que señaló que detectó más de 100 paquetes maliciosos dirigidos a bibliotecas de aprendizaje automático (ML) como Pytorch, Matplotlib y Selenium. El desarrollo se produce cuando los repositorios de código abierto se están convirtiendo cada vez más en un vector de ataque para que los actores de amenazas se infiltren en entornos empresariales. Typosquatting es una técnica de ataque bien documentada en la que los adversarios cargan paquetes con nombres que se parecen mucho a sus homólogos legítimos (por ejemplo, Matplotlib frente a Matplotlig o tensorflow frente a tensourflow) para engañar a usuarios desprevenidos para que los descarguen. Se descubrió que estas variantes engañosas, que suman un total de más de 500 paquetes por Check Point, se cargaron desde una cuenta única a partir del 26 de marzo de 2024, lo que sugiere que todo el proceso fue automatizado. «La naturaleza descentralizada de las cargas, con cada paquete atribuido a un usuario diferente, complica los esfuerzos para identificar estas entradas maliciosas», dijo la compañía israelí de ciberseguridad. La firma de ciberseguridad Phylum, que también ha estado rastreando la misma campaña, dijo que los atacantes publicaron: 67 variaciones de requisitos 38 variaciones de Matplotlib 36 variaciones de solicitudes 35 variaciones de colorama 29 variaciones de tensorflow 28 variaciones de selenium 26 variaciones de BeautifulSoup 26 variaciones de PyTorch 20 variaciones de almohada 15 variaciones de asyncio Los paquetes, por su parte, comprueban si el sistema operativo del instalador era Windows y, de ser así, proceden a descargar y ejecutar una carga útil ofuscada recuperada de un dominio controlado por el actor («funcaptcha[.]ru»). El malware funciona como un ladrón, filtrando archivos, tokens de Discord, así como datos de navegadores web y billeteras de criptomonedas al mismo servidor. Además, intenta descargar un script de Python («hvnc.py») al sistema operativo Windows. Carpeta de inicio para la persistencia. El desarrollo ilustra una vez más el creciente riesgo que plantean los ataques a la cadena de suministro de software, por lo que es crucial que los desarrolladores examinen cada componente de terceros para garantizar que proteja contra amenazas potenciales. Esta no es la primera vez que PyPI ha recurrido a En mayo de 2023, deshabilitó temporalmente los registros de usuarios después de descubrir que «el volumen de usuarios maliciosos y proyectos maliciosos creados en el índice durante la semana pasada ha superado nuestra capacidad de responder de manera oportuna». PyPI suspendió los registros de nuevos usuarios por segunda vez el año pasado el 27 de diciembre por razones similares. Posteriormente se levantó el 2 de enero de 2024. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

28 de marzo de 2024Sala de prensaTecnología/Privacidad de datos En junio de 2017, un estudio de más de 3000 estudiantes del Instituto Tecnológico de Massachusetts (MIT) publicado por la Oficina Nacional de Investigación Económica (NBER) encontró que el 98% de ellos estaban dispuestos a donar las direcciones de correo electrónico de sus amigos a cambio de pizza gratis. «Mientras que las personas dicen que les importa la privacidad, están dispuestas a ceder datos privados con bastante facilidad cuando se les incentiva a hacerlo», dice la investigación, señalando lo que se llama la paradoja de la privacidad. Ahora, casi siete años después, Telegram ha introducido una nueva función que ofrece a algunos usuarios una membresía premium gratuita a cambio de permitir que la popular aplicación de mensajería utilice sus números de teléfono como retransmisión para enviar contraseñas de un solo uso (OTP) a otros usuarios que están intentando iniciar sesión en la plataforma. La función, llamada Peer-to-Peer Login (P2PL), se está probando actualmente en países seleccionados para usuarios de Telegram en Android. Tginfo lo detectó por primera vez en febrero de 2024 (a través de @AssembleDebug). Según los Términos de servicio de Telegram, el número de teléfono se utilizará para enviar no más de 150 mensajes SMS OTP (incluidos SMS internacionales) por mes, lo que generará cargos por parte del operador de telefonía móvil o del proveedor de servicios del usuario. Dicho esto, la popular aplicación de mensajería señala que «no puede evitar que el destinatario de OTP vea su número de teléfono al recibir su SMS» y que «no será responsable de ningún inconveniente, acoso o daño resultante de acciones no deseadas, no autorizadas o ilegales realizadas». por usuarios que tuvieron conocimiento de su número de teléfono a través de P2PL.» Peor aún, el mecanismo, que se basa en gran medida en un sistema de honor, no prohíbe a los usuarios contactar a extraños a cuyo número se envió el SMS de autenticación OTP, y viceversa, lo que podría generar un aumento en las llamadas y mensajes de texto no deseados. Telegram dijo que se reserva el derecho de cancelar unilateralmente una cuenta del programa P2PL si se descubre que los participantes comparten información personal sobre los destinatarios. También advierte a los usuarios que no se comuniquen con ningún destinatario de OTP ni les respondan incluso si les envían mensajes. En marzo de 2024, Telegram tiene más de 900 millones de usuarios activos mensuales. Lanzó el programa de suscripción Premium en junio de 2022, que permite a los usuarios desbloquear funciones adicionales como carga de archivos de 4 GB, descargas más rápidas y pegatinas y reacciones exclusivas. Dado que los servicios en línea todavía dependen de números de teléfono para autenticar a los usuarios, vale la pena tener en cuenta los riesgos de privacidad y seguridad que podrían surgir al participar en el experimento. Meta en la mira legal para interceptar el tráfico de Snapchat El desarrollo se produce cuando documentos judiciales recientemente revelados en los EE. UU. alegan que Meta lanzó un proyecto secreto llamado Ghostbusters para interceptar y descifrar el tráfico de red de personas que usan Snapchat, YouTube y Amazon para ayudarlo a comprender el comportamiento del usuario. y competir mejor con sus rivales. Esto se logró aprovechando aplicaciones personalizadas de un servicio VPN llamado Onavo, que Facebook adquirió en 2013 y cerró en 2019 después de que fuera objeto de escrutinio por usar sus productos para rastrear la actividad web de los usuarios relacionada con sus competidores y pagar en secreto a adolescentes para capturar sus datos. Patrones de navegación en Internet. El esquema de interceptación de datos ha sido descrito como un enfoque de «intermediario», en el que Facebook esencialmente pagaba a personas de entre 13 y 35 años hasta 20 dólares al mes más tarifas de referencia por instalar una aplicación de investigación de mercado y darle un precio elevado. acceso para inspeccionar el tráfico de la red y analizar su uso de Internet. La táctica se basó en la creación de «certificados digitales falsos para hacerse pasar por servidores de análisis confiables de Snapchat, YouTube y Amazon para redirigir y descifrar el tráfico seguro de esas aplicaciones para el análisis estratégico de Facebook». Las aplicaciones se distribuyeron a través de servicios de prueba beta, como Applause, BetaBound y uTest, para ocultar la participación de Facebook. El programa, que luego pasó a conocerse como Panel de acción en la aplicación (IAAP), se ejecutó de 2016 a 2018. Meta, en su respuesta, dijo que no hay delito ni fraude, y que «el propio testigo de Snapchat sobre la publicidad confirmó que Snap no puedo ‘identificar una única venta de anuncios que [it] perdido por el uso de productos de investigación de usuarios por parte de Meta’, no sabe si otros competidores recopilaron información similar y no sabe si alguna de las investigaciones de Meta proporcionó a Meta una ventaja competitiva». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para lee más contenido exclusivo que publicamos.

Source link