Etiqueta: seguridad de la información Página 1 de 5

sep 01, 2025Ravie Lakshmanananmobile Seguridad / incalviente ciberseguridad Los investigadores están llamando la atención sobre un nuevo cambio en el panorama de malware de Android, donde las aplicaciones de gotero, que generalmente se utilizan para ofrecer troyanos bancarios, también distribuyen malware más simple como los escaladores de SMS y el software básico. Estas campañas se propagan a través de aplicaciones de gotero disfrazadas de aplicaciones gubernamentales o bancarias en India y otras partes de Asia, dijo Amenazfabric en un informe la semana pasada. La firma de seguridad móvil holandesa dijo que el cambio está impulsado por las recientes protecciones de seguridad que Google ha puesto a prueba en mercados seleccionados como Singapur, Tailandia, Brasil e India para bloquear la respuesta lateral de aplicaciones potencialmente sospechosas que solicitan permisos peligrosos como mensajes SMS y servicios de accesibilidad, un entorno fuertemente abusado para llevar a cabo acciones maliciosas en dispositivos de androides. «Las defensas de Google Play Protect, particularmente el programa piloto objetivo, son cada vez más efectivos para detener aplicaciones arriesgadas antes de que se ejecuten», dijo la compañía. «En segundo lugar, los actores quieren impulsar en el futuro sus operaciones». «Al encapsular incluso las cargas útiles básicas dentro de un gotero, obtienen un caparazón protector que puede evadir los cheques de hoy mientras se mantienen lo suficientemente flexibles como para intercambiar cargas útiles y campañas de pivote mañana». Amensefabric dijo que si bien la estrategia de Google aumenta la apuesta al bloquear una aplicación maliciosa de ser instalada incluso antes de que un usuario pueda interactuar con ella, los atacantes están probando nuevas formas de evitar las salvaguardas, una indicación del juego interminable de Whack-a-Mole cuando se trata de seguridad. Esto incluye el diseño de goteros, teniendo en cuenta el programa piloto de Google, para que no busquen permisos de alto riesgo y solo sirvan una pantalla inofensiva de «actualización» que puede volar más allá del escaneo en las regiones. Pero es solo cuando el usuario hace clic en el botón «Actualizar» que la carga útil real se obtiene de un servidor externo o desempaquetado, que luego procede a buscar los permisos necesarios para cumplir con sus objetivos. «Play Protect puede mostrar alertas sobre los riesgos, como parte de un escaneo diferente, pero mientras el usuario las acepte, la aplicación está instalada y la carga útil se entrega», dijo Amenazfabric. «Esto ilustra una brecha crítica: Play Protect todavía permite aplicaciones de riesgo a través de si el usuario hace clic en la instalación de todos modos, y el malware aún se desliza a través del programa piloto». Uno de esos cuenteros es recompensas que se ha encontrado que sirve junto con las cargas de spyware un minero de criptomonedas Monero que puede activarse de forma remota. Sin embargo, las variantes recientes de la herramienta ya no incluyen la funcionalidad del minero. Algunas de las aplicaciones maliciosas entregadas a través de recompensasDropMiner, todos los usuarios de orientación en la India, se enumeran a continuación – PM Yojana 2025 (com.fluvdp.hrzmkgi) ° rto challan (com.epr.fnroyex) sbi en línea (com.qmwownic.eqmff) axis (com.tolqppj.yqmralytfzfzrrrxrrrrxrrrxrrxrrxrrxrra) La protección del juego desencadenante o el programa piloto incluye Securidropper, Zombinder, BrokeWelldropper, Hiddencatdropper y Tiramisudropper. Cuando se le contactó para hacer comentarios, Google le dijo a Hacker News que no ha encontrado ninguna aplicación que use estas técnicas distribuidas a través de Play Store y que constantemente agrega nuevas protecciones. «Independientemente de de dónde proviene una aplicación, incluso si está instalada por una aplicación ‘Dropper’, Google Play Protect ayuda a mantener a los usuarios seguros al verificarlo automáticamente las amenazas», dijo un portavoz. «La protección contra estas versiones de malware identificadas ya estaba en su lugar a través de Google Play Protect antes de este informe. Según nuestra detección actual, no se han encontrado aplicaciones que contengan estas versiones de este malware en Google Play. Estamos mejorando constantemente nuestras protecciones para ayudar a los usuarios a salvo de malos actores». El desarrollo se produce cuando Bitdefender Labs advirtió sobre una nueva campaña que usa anuncios maliciosos en Facebook para vender una versión premium gratuita de la aplicación TradingView para Android para que finalmente desplegue una versión mejorada del troyano de banca Brokwell para monitorear, controlar y robar información confidencial del dispositivo de la víctima. No menos de 75 anuncios maliciosos se han publicado desde el 22 de julio de 2025, llegando a decenas de miles de usuarios solo en la Unión Europea. La ola de Attack Android es solo una parte de una operación de malvertimiento más grande que ha abusado de los anuncios de Facebook para dirigir también a los escritorios de Windows bajo la apariencia de varias aplicaciones financieras y de criptomonedas. «Esta campaña muestra cómo los ciberdelincuentes están ajustando sus tácticas para mantenerse al día con el comportamiento del usuario», dijo la compañía rumana de ciberseguridad. «Al atacar a los usuarios móviles y disfrazar el malware como herramientas comerciales de confianza, los atacantes esperan aprovechar la creciente dependencia de las aplicaciones criptográficas y las plataformas financieras».

Los investigadores de seguridad cibernética han descubierto una nueva campaña de phishing realizada por el grupo de piratería vinculado a Corea del Norte llamado Scarcruft (también conocido como APT37) para entregar un malware conocido como Rokrat. La actividad ha sido con nombre en código Operación Hankook Phantom por Seqrite Labs, afirmando que los ataques parecen dirigirse a las personas asociadas con la Asociación Nacional de Investigación de Inteligencia, incluidas las cifras académicas, los ex funcionarios gubernamentales e investigadores. «Los atacantes probablemente apuntan a robar información confidencial, establecer persistencia o realizar espionaje», dijo el investigador de seguridad Dixit Panchal en un informe publicado la semana pasada. El punto de partida de la cadena de ataque es un correo electrónico de phishing de lanza que contiene un señuelo para el «Boletín de la Sociedad Nacional de Investigación de Inteligencia: el tema 52», un boletín periódico emitido por un grupo de investigación surcoreano centrado en la inteligencia nacional, las relaciones laborales, la seguridad y los problemas de energía. La misiva digital contiene un archivo adjunto de archivo zip que contiene un atajo de Windows (LNK) disfrazado de documento PDF, que, cuando se abre, lanza el boletín como un señuelo mientras deja caer a Rokrat en el host infectado. Rokrat es un malware conocido asociado con APT37, con la herramienta capaz de recopilar información del sistema, ejecutar comandos arbitrarios, enumerando el sistema de archivos, capturar capturas de pantalla y descargar cargas útiles adicionales. Los datos recopilados se exfiltran a través de Dropbox, Google Cloud, PCloud y Yandex Cloud. Seqrite dijo que detectó una segunda campaña en la que el archivo LNK sirve como un conducto para un script de PowerShell que, además de dejar un documento de Microsoft Word de señuelo, ejecuta un script de lotes de Windows ofuscado que es responsable de desplegar un cuentagotas. El binario luego ejecuta una carga útil de la próxima etapa para robar datos confidenciales del host comprometido mientras oculta el tráfico de la red como una carga de archivo Chrome. El documento de señuelo utilizado en este caso es una declaración emitida por Kim Yo Jong, subdirector del Departamento de Publicidad e Información del Partido de los Trabajadores de Corea y, con fecha del 28 de julio, rechazando los esfuerzos de Seúl en la reconciliación. «El análisis de esta campaña destaca cómo Apt37 (escorruft/Inkysquid) continúa empleando ataques de phishing de lanza altamente personalizados, aprovechando cargadores LNK maliciosos, ejecución de PowerShell sin fila y mecanismos de exfiltración encubiertos», dijo Panchal. «Los atacantes apuntan específicamente a los sectores gubernamentales de Corea del Sur, instituciones de investigación y académicos con el objetivo de la recopilación de inteligencia y el espionaje a largo plazo». El desarrollo se produce cuando la compañía cibernética Qianxin ataques detallados montados por el infame Lázaro Group (también conocido como Qianxin) utilizando tácticas de estilo ClickFix para engañar a los buscadores de empleo en la descarga de una supuesta actualización relacionada con Nvidia para abordar problemas de cámara o micrófono al proporcionar una evaluación de video. Los detalles de esta actividad fueron revelados previamente por Gen Digital a fines de julio de 2025. El ataque de ClickFix da como resultado la ejecución de un script de Visual Basic que conduce a la implementación de Beaverail, un robador de JavaScript que también puede entregar una puerta trasera basada en Python doblada InvisibleFerret. Además, los ataques allanan el camino para una puerta trasera con la ejecución de comandos y las capacidades de lectura/escritura de archivos. La divulgación también sigue a nuevas sanciones impuestas por el Departamento de Control de Activos Extranjeros (OFAC) del Departamento de Tesoro de los Estados Unidos contra dos individuos y dos entidades para su papel en el esquema de trabajadores de la Tecnología de la Información Remota de Corea del Norte (TI) para generar ingresos ilícitos para las armas de destrucción de masas y los programas de misiles balísticos del régimen. El Grupo Chollima, en un informe publicado la semana pasada, detalló su investigación sobre un clúster de trabajadores de TI afiliado con Moonstone Sleet que rastrea como Babylongroup en relación con un juego Blockchain Play-to Earn (P2E) llamado Defitankland. Se evalúa que Logan King, el supuesto CTO de Defitankland, es en realidad un trabajador de TI de Corea del Norte, una hipótesis reforzada por el hecho de que la cuenta GitHub de King ha sido utilizada como referencia por un freelancer y desarrollador de blockchain ucraniano llamado «Ivan Kovch». «Muchos miembros habían trabajado previamente en un gran proyecto de criptomonedas en nombre de una compañía sombreada llamada ICICB (que creemos que es un frente), que uno de los miembros que no son DPRK del clúster dirigen el mercado de delitos cibernéticos chinos, y una conexión interesante entre Detankzone y un trabajador de TI mayor que anteriormente operaba fuera de Tanzania», dijo el grupo Chollima Group. «Si bien el CEO de Defitankland, Nabil Amrani, ha trabajado anteriormente con Logan en otros proyectos de blockchain, no creemos que sea responsable de ninguno de los desarrollos. Todo esto significa que el juego» legítimo «detrás de la detankzone de Moonstone Sleet fue desarrollado de hecho por los trabajadores de TI de DPRK, solo para ser recogido y utilizado por un grupo de aptos de Cornean del Norte».

Aug 29, 2025  Las plataformas de IA generativas de seguridad de inteligencia / inteligencia artificial de Hacker NewsEnterprise, como ChatGPT, Gemini, Copilot y Claude, son cada vez más comunes en las organizaciones. Si bien estas soluciones mejoran la eficiencia en todas las tareas, también presentan una nueva prevención de fugas de datos para desafíos generativos de IA. La información confidencial se puede compartir a través de las indicaciones de chat, los archivos cargados para resumir la IA o los complementos del navegador que evitan los controles de seguridad familiares. Los productos DLP estándar a menudo no registran estos eventos. Las soluciones como la detección y respuesta de Fidelis Network® (NDR) introducen la prevención de pérdida de datos basada en la red que pone en control la actividad de IA. Esto permite a los equipos monitorear, hacer cumplir las políticas y auditar el uso de Genai como parte de una estrategia más amplia de prevención de pérdidas de datos. Por qué la prevención de la pérdida de datos debe evolucionar para la prevención de la pérdida de datos de Genai para la IA generativa requiere un enfoque cambiante desde los puntos finales y los canales aislados hasta la visibilidad en toda la ruta del tráfico. A diferencia de las herramientas anteriores que se basan en escanear correos electrónicos o acciones de almacenamiento, las tecnologías NDR como Fidelis identifican las amenazas a medida que atraviesan la red, analizando los patrones de tráfico incluso si el contenido está encriptado. La preocupación crítica no es solo quién creó los datos, sino cuándo y cómo deja el control de la organización, ya sea a través de cargas directas, consultas conversacionales o funciones de IA integradas en los sistemas comerciales. Monitoreo El uso generativo de IA de manera efectiva Las organizaciones pueden usar soluciones DLP Genai basadas en la detección de redes en tres enfoques complementarios: los indicadores basados ​​en URL y las alertas en tiempo real Los administradores pueden definir indicadores para plataformas Genai específicas, por ejemplo, ChatGPT. Estas reglas se pueden aplicar a múltiples servicios y adaptarse a departamentos o grupos de usuarios relevantes. El monitoreo puede cumplir con la web, el correo electrónico y otros sensores. Proceso: cuando un usuario accede a un punto final de Genai, Fidelis NDR genera una alerta si se desencadena una política de DLP, la plataforma registra una captura de paquetes completos para análisis posteriores en la web y los sensores de correo pueden automatizar acciones, como redirigir el tráfico de usuarios o aislar mensajes de ventajas sospechosas: las notificaciones en tiempo real en la respuesta a la respuesta rápida de seguridad. Las reglas actualizadas son necesarias, ya que los puntos finales de IA y los complementos cambian el uso de alto género de Genai puede requerir un ajuste de alerta para evitar el monitoreo de metadatos de sobrecarga solo para la auditoría y los entornos de bajo ruido, no todas las organizaciones necesitan alertas inmediatas para toda la actividad de Genai. Las políticas de prevención de pérdidas de datos basadas en la red a menudo registran la actividad como metadatos, creando una pista de auditoría de búsqueda con una interrupción mínima. Las alertas se suprimen, y todos los metadatos de sesión relevantes son sesiones retenidas de registro de registro y IP de destino, protocolo, puertos, dispositivos y marcas de tiempo Los equipos de seguridad pueden revisar todas las interacciones de Genai históricamente por anfitrión, grupo o marco de tiempo beneficios: reducen los positivos falsos y la fatiga operativa para los equipos de SOC permiten el análisis de la tendencia de la tendencia de la tendencia de la sesión de la sesión de la sesión de larga duración. Y la captura completa de paquetes solo está disponible si una alerta específica se intensifica en la práctica, muchas organizaciones usan este enfoque como línea de base, agregando monitoreo activo solo para departamentos o actividades de mayor riesgo. La detección y prevención de la carga de archivos riesgosos de carga de archivos de carga a las plataformas Genai introduce un mayor riesgo, especialmente al manejar datos PII, PHI o de propiedad. Fidelis NDR puede monitorear tales cargas a medida que ocurren. La seguridad efectiva de la IA y la protección de datos significa inspeccionar de cerca estos movimientos. Proceso: el sistema reconoce cuándo se están cargando los archivos en las políticas de DLP de Genai, inspeccionan automáticamente el contenido del archivo para obtener información confidencial cuando una regla coincide, el contexto completo de la sesión se captura, incluso sin inicio de sesión del usuario, y la atribución del dispositivo proporciona ventajas de responsabilidad: las obras de la red de la red de la ruta de los datos no autorizados no tienen en cuenta los eventos de la red de la red de la red de la red de la red de la red de la red de la red de los que se sobreproducen las obras de la red de la red sobre el Monitoreo de la red sobre el Monitoreo: La atribución se encuentra a nivel de activo o dispositivo a menos que la autenticación del usuario esté presente que sopesen sus opciones: lo que funciona mejor alertas de URL en tiempo real PROS: Permite una intervención rápida y una investigación forense, admite el registro de incidentes y la respuesta automatizada Conspuesta: puede aumentar el ruido y la carga de trabajo en los entornos de alto uso, necesita un mantenimiento de reglas de rutina a medida que los puntos finales evolucionan los metadatos, el modo de modo de metadata un solo operador operativo, fuerte para los entornos postales y la revisión postalvent, la revisión de los puntos de atención de los puntos finales, los puntos finales de los puntos finales de la seguridad de los puntos de seguridad de la Seguridad de la Seguridad de los puntos de seguridad. Anomalías Contras: No se adaptan a las amenazas inmediatas, la investigación requerida Pros de monitoreo de carga de archivos posteriores al factum: se dirige a los eventos de exfiltración de datos reales, proporciona registros detallados para el cumplimiento y los consumo forense: la asignación de niveles de activo solo cuando el inicio de sesión está ausente, ciego a la red o los canales no meditados para la protección de datos de AI, la protección de los datos de AI, el programa de soluciones de GenaAi comprensiva involucra: se mantiene en vivo de los canales de la red o que se realiza la protección de los puntos de venta de AI de la AI. Las reglas de monitoreo asignan regularmente el modo de monitoreo, alertas, metadatos o ambas, por riesgo y negocios, necesitan colaborar con los líderes de cumplimiento y privacidad al definir las reglas de contenido que integran los resultados de detección de redes con los sistemas de gestión de activos y automatización de SOC que educan a los usuarios de los usuarios sobre el cumplimiento de políticas y la visibilidad de las organizaciones de uso de Genai deben revisar periódicamente los registros de políticas y actualizar su sistema para abordar los nuevos servicios de Genai y los placeres y los usos comerciales emergentes. Las mejores prácticas para la implementación de la implementación exitosa requieren: la gestión de inventario de plataforma clara y las actualizaciones de políticas regulares de los enfoques de monitoreo basados ​​en el riesgo adaptados a las necesidades organizacionales integración con flujos de trabajo de SoC existentes y marcos de cumplimiento de los programas de educación de los usuarios que promueven el uso de la IA de la IA IA Continua y la adaptación a la evolución de las tecnologías IA IA IAI Takeaways Key Modern La pérdida de datos Solutiones de prevención de datos, según lo promocionan la Fidelis NDR, la ayuda de la participación de la AI de la AI de la AI de la AI AI de la adopción de la generación de la red de la red. Seguridad y protección de datos. Al combinar controles basados ​​en alertas, metadatos y archivos, las organizaciones crean un entorno de monitoreo flexible donde la productividad y el cumplimiento coexisten. Los equipos de seguridad conservan el contexto y el alcance necesario para manejar nuevos riesgos de IA, mientras que los usuarios continúan beneficiándose del valor de la tecnología Genai. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Un servidor de actualización abandonado asociado con el software del editor de métodos de entrada (IME) Sogou Zhuyin fue aprovechado por los actores de amenaza como parte de una campaña de espionaje para ofrecer varias familias de malware, incluidas C6door y Gtelam, en ataques dirigidos principalmente a usuarios en todo el este de Asia. «Los atacantes emplearon cadenas de infección sofisticadas, como actualizaciones de software secuestradas y páginas falsas de almacenamiento en la nube o inicio de sesión, para distribuir malware y recopilar información confidencial», dijeron los investigadores de Trend Micro Nick Dai y Pierre Lee en un informe exhaustivo. La campaña, identificada en junio de 2025, ha sido nombrada en código Taoth por la compañía de seguridad cibernética. Los objetivos de la actividad incluyen principalmente disidentes, periodistas, investigadores y tecnología/líderes empresariales en China, Taiwán, Hong Kong, Japón, Corea del Sur y comunidades taiwaneses extranjeras. Taiwán representa el 49%de todos los objetivos, seguido de Camboya (11%) y los EE. UU. (7%). Se dice que los atacantes, en octubre de 2024, tomaron el control del nombre de dominio caducado («Sogouzhuyin[.]com «) asociado con Sogou Zhuyin, un servicio IME legítimo que dejó de recibir actualizaciones en junio de 2019, para difundir las cargas útiles maliciosas un mes después. Se estima que varios cientos de víctimas se vieron afectadas». El atacante se apoderó del servidor de actualizaciones abandonadas y, después de registrarlo, se utiliza el dominio para organizar actualizaciones maliciosas desde octubre de 2024 «. Gtelam, C6door, Desfy y Toshis. «Las familias de malware desplegadas tienen diferentes propósitos, incluidos el acceso remoto (RAT), el robo de información y la funcionalidad de puerta trasera. Para evadir la detección, los actores de amenaza también aprovecharon los servicios en la nube de terceros para las actividades de la cadena de la red en la cadena de ataque. Un punto de exfiltración de datos y para ocultar el tráfico de redes maliciosas.[.]Sogouzhuyin[.]com. Si bien el instalador es completamente inocuo, la actividad maliciosa se activa cuando el proceso de actualización automática se activa un par de horas después de la instalación, lo que hace que el binario de actualizadores «Zhuyinup.exe», obtenga un archivo de configuración de actualización de una URL integrada: «SRV-PC.SogouZhuyinin[.]com/v1/actualización/versión. «Es este proceso de actualización el que ha sido manipulado con Desfy, Gtelam, C6Door y Toshis con el objetivo final de perfilar y recopilar datos de objetivos de alto valor-Toshis (primer Servidor de marco de marco externo detectado de diciembre de 2024). Xiangoop, que se ha atribuido a Tropic Trooper y se ha utilizado para entregar Cobalt Strike o una puerta trasera llamada EntryShell en el pasado. XLSX, PPT, and PPTX), and exfiltrates the details to Google Drive C6DOOR, a bespoke Go-based backdoor that uses HTTP and WebSocket protocols for command-and-control so as to receive instructions to gather system information, run arbitrary commands, perform file operations, upload/download files, capture screenshots, list running processes, enumerate directories, and inject shellcode into a targeted process Further El análisis de C6door ha descubierto la presencia de caracteres chinos simplificados integrados dentro de la muestra, lo que sugiere que el actor de amenaza detrás del artefacto puede ser competente en chino «. En uno de los casos que analizamos, el atacante estaba inspeccionando el entorno de la víctima y estableciendo un túnel utilizando el código de Visual Studio. «Curiosamente, hay evidencia de que Toshis también se distribuyó a los objetivos utilizando un sitio web de phishing, probablemente en relación con una campaña de lanza dirigida a un enfoque de dos medidas de registro y, en un enfoque de logro menor, también se ha observado un enfoque de logro de dos medidas de registro con un enfoque de logro de dos medidas de registro, también se ha observado un enfoque de logro de dos medidas de registro. Los señuelos relacionados con cupones gratuitos o lectores de PDF que redirigen y otorgan consentimiento OAuth a las aplicaciones controladas por el atacante, o que sirven páginas de almacenamiento de nube falsas que imitan Tencent Cloud Streamlink para descargar archivos de Zip Maliciosos que contienen toshis estos correos electrónicos de falla de la potencia de la Booby y un documento de desacuerdo que engaña a los trucos de la interacción con el contenido malicioso, el Contenido de la Múltiple. Toshis utilizando la carga lateral de DLL u obtenga el acceso y el control no autorizados sobre sus buzones de Google o Microsoft a través de un mensaje de permiso OAuth. Auditar sus entornos para cualquier software de fin de apoyo y eliminar o reemplazar de inmediato tales aplicaciones. objetivos para una mayor explotación «.

Aug 29, 2025Ravie Lakshmananthrat Intelligence / Malware Amazon dijo el viernes que marcó e interrumpió lo que describió como una campaña oportunista de agujeros de riego orquestados por los actores APT29 vinculados a Rusia como parte de sus esfuerzos de recolección de inteligencia. La campaña utilizó «sitios web comprometidos para redirigir a los visitantes a la infraestructura maliciosa diseñada para engañar a los usuarios para que autorizar los dispositivos controlados por los atacantes a través del flujo de autenticación del código de dispositivo de Microsoft», dijo el director de seguridad de la información de Amazon, CJ Moses. Apt29, también rastreado como BlueBravo, Ursa Cloed, Cozylarch, Cozy Bear, Earth Koshchei, ICECAP, Midnight Blizzard y los Dukes, es el nombre asignado a un grupo de piratería patrocinado por el estado con vínculos con el Servicio de Inteligencia Extranjera (SVR) de Rusia. En los últimos meses, el actor prolífico de amenaza se ha vinculado a ataques que aprovechan los archivos de configuración del Protocolo de Descripción Remoto Malicioso (RDP) para dirigirse a las entidades ucranianas y exfiltrar datos confidenciales. Desde el comienzo del año, se ha observado que el colectivo adversario adoptan varios métodos de phishing, incluidos phishing del código de dispositivo y phishing de unión de dispositivo, para obtener acceso no autorizado a las cuentas de Microsoft 365. Tan recientemente como junio de 2025, Google dijo que observó un clúster de amenazas con afiliaciones a Apt29 armando una característica de la cuenta de Google llamada contraseñas específicas de la aplicación para obtener acceso a los correos electrónicos de las víctimas. La campaña altamente dirigida se atribuyó a UNC6293. La última actividad identificada por el equipo de inteligencia de amenazas de Amazon subraya los continuos esfuerzos del actor de amenaza para cosechar credenciales y reunir inteligencia de interés, al tiempo que afilaba su tradición. «Este enfoque oportunista ilustra la evolución continua de APT29 al escalar sus operaciones para lanzar una red más amplia en sus esfuerzos de recolección de inteligencia», dijo Moses. Los ataques involucraron a APT29 que comprometieron varios sitios web legítimos e inyectan JavaScript que redirigió aproximadamente el 10% de los visitantes a dominios controlados por actores, como FindCloudflare[.]com, que imitaban las páginas de verificación de Cloudflare para dar una ilusión de legitimidad. En realidad, el objetivo final de la campaña era atraer a las víctimas a ingresar un código de dispositivo legítimo generado por el actor de amenazas en una página de inicio de sesión, otorgándoles efectivamente acceso a sus cuentas y datos de Microsoft. Esta técnica fue detallada por Microsoft y Volexity en febrero de 2025. La actividad también es notable para incorporar varias técnicas de evasión, como la codificación de Base64 para ocultar el código malicioso, establecer cookies para evitar redirigiciones repetidas del mismo visitante y cambiar a una nueva infraestructura cuando se bloquea. Amazon le dijo a The Hacker News que no tiene información adicional sobre cuántos sitios web se comprometieron como parte de este esfuerzo y cómo se piratearon estos sitios en primer lugar. El gigante tecnológico también señaló que era capaz de vincular los dominios utilizados en esta campaña con infraestructura previamente atribuida a Apt29. «A pesar de los intentos del actor de migrar a una nueva infraestructura, incluido un traslado de AWS a otro proveedor de la nube, nuestro equipo continuó rastreando e interrumpiendo sus operaciones», dijo Moses. «Después de nuestra intervención, observamos que el actor registra dominios adicionales como CloudFlare.RedirectPartners[.]com, que nuevamente intentó atraer a las víctimas a los flujos de trabajo de autenticación del código de dispositivo de Microsoft «.

Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una herramienta de monitoreo de punto final de código abierto y una herramienta forense digital llamada Velociraptor, que ilustra el abuso continuo de software legítimo para fines maliciosos. «En este incidente, el actor de amenazas utilizó la herramienta para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Unidad de Amenazas de Sophos Counter Amenazas en un informe publicado esta semana. Si bien se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y gestión remota (RMM) en sus ataques, el uso de Velociraptor señala una evolución táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la necesidad de tener para implementar su propio malware. Un análisis posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en escena para otras herramientas utilizadas por ellos, incluida una herramienta de túnel de CloudFlare y una utilidad de administración remota conocida como radmin. El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el acceso para descargar el código Visual Studio del mismo servidor de puesta en escena utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el acceso remoto como la ejecución del código remoto. Los actores de amenaza también se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas útiles adicionales de los trabajadores[.]carpeta de desarrollo. «Las organizaciones deben monitorear e investigar el uso no autorizado de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware», dijo Sophos. «Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para asegurar sistemas y generar copias de seguridad puede mitigar la amenaza de ransomware». La divulgación se produce cuando las empresas de ciberseguridad cazadores y Permiso detallaron una campaña maliciosa que ha aprovechado a los equipos de Microsoft para el acceso inicial, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones empresariales para el despliegue de malware. Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a objetivos, hacerse pasar por su parte de equipos de mesa u otros contactos confiables para instalar software de acceso remoto como Anydesk, Dwagent o Asistencia rápida, y aprovechar el control de los sistemas de víctimas para entregar malware. Si bien se han vinculado técnicas similares que involucran herramientas de acceso remoto a grupos de ransomware como Black Basta desde mediados de 2014, estas campañas más nuevas renuncian al paso de bombardeo de correo electrónico preliminar y, en última instancia, utilizan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto. «Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la asistencia de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico general», dijo el investigador de Permiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas». Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado. Los ataques también sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema. «El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en evolución que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración», dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon. «Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antes de explotarse». Los hallazgos también siguen el descubrimiento de una nueva campaña malvertida que combina un cargo legítimo[.]COM Enlace con Active Directory Federation Services (ADFS) para redirigir a los usuarios a las páginas de phishing de Microsoft 365 que son capaces de recolectar información de inicio de sesión. La cadena de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una cadena de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft. «Resulta que el atacante había establecido un inquilino personalizado de Microsoft con los servicios de la Federación de Active Directory (ADFS) configurados», dijo Luke Jennings de Push Security. «Esto significa que Microsoft realizará la redirección al dominio malicioso personalizado». «Si bien esto no es una vulnerabilidad per se, la capacidad de los atacantes para agregar su propio servidor Microsoft ADFS para alojar su página de phishing y hacer que Microsoft redirige a ella es un desarrollo preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son».

AUG 30, 2025RAVIE LAKSHMANZERO-DAY / Vulnerabilidad WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple iOS y macOS que, según dijo, puede haber sido explotado en la naturaleza junto con un defecto de Apple recientemente revelado en ataques de día cero dirigidos. La vulnerabilidad, CVE-2025-55177 (puntaje CVSS: 8.0), se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Los investigadores internos en el equipo de seguridad de WhatsApp han sido acreditados por descubrir y volver a hacer el error. La compañía propiedad de Meta dijo que el problema «podría haber permitido que un usuario no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo». El defecto afecta las siguientes versiones: WhatsApp para iOS antes de la versión 2.25.21.73 WhatsApp Business para iOS Versión 2.25.21.78, y WhatsApp para Mac Versión 2.25.21.78 también evaluó que la deficiencia puede haber sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOs, como un ataques específicos de un shatications. CVE-2025-43300 fue revelado por Apple la semana pasada la semana pasada como haber sido armado en un «ataque extremadamente sofisticado contra individuos específicos específicos». La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el marco ImageIO que podría resultar en la corrupción de la memoria al procesar una imagen maliciosa. Donncha ó Cearbhaill, jefe del laboratorio de seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que fueron atacados por una campaña de spyware avanzada en los últimos 90 días utilizando CVE-2025-55177. En la alerta enviada a las personas específicas, WhatsApp también ha recomendado realizar un reinicio de fábrica de dispositivos completo y mantener su sistema operativo y la aplicación WhatsApp actualizada para una protección óptima. Actualmente no se sabe quién, o qué proveedor de spyware, está detrás de los ataques. Ó Cearbhaill describió el par de vulnerabilidades como un ataque de «clic cero», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo. «Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, a los individuos de la sociedad civil entre ellos», dijo Ó Cearbhaill. «El spyware del gobierno continúa representando una amenaza para los periodistas y los defensores de los derechos humanos».

Aug 29, 2025Ravie Lakshmananvulnerabilidad / Seguridad web Se han divulgado tres nuevas vulnerabilidades de seguridad en la plataforma Sitecore Experience que podrían explotarse para lograr la divulgación de información y la ejecución de código remoto. Los fallas, según WatchToWr Labs, se enumeran a continuación-CVE-2025-53693-Preisoning de caché HTML a través de reflexiones inseguras CVE-2025-53691-Ejecución remota de código remoto (RCE) a través de la deserialización insegura CVE-2025-53694-Información de información Información en el servicio itemeRem. Sitecore publicó parches de enfoque de fuerza brute para las dos primeras deficiencias en junio y para el tercero de julio de 2025, y la compañía afirma que «la explotación exitosa de las vulnerabilidades relacionadas podría conducir a la ejecución de código remoto y el acceso no autorizado a la información». The findings build on three more flaws in the same product that were detailed by watchTowr back in June – CVE-2025-34509 (CVSS score: 8.2) – Use of hard-coded credentials CVE-2025-34510 (CVSS score: 8.8) – Post-authenticated remote code execution via path traversal CVE-2025-34511 (CVSS score: 8.8) – La ejecución de código remoto post-autenticado a través de Sitecore PowerShell Extension WatchToWr Labs, el investigador Piotr Bazydlo dijo que los errores recién descubiertos podrían diseñarse en una cadena de exploits al reunir la vulnerabilidad de envenenamiento de caché HTML de HTML con un problema de ejecución de código remoto post-autenticado para comprometer una instancia de plataforma de experiencia sitios totalmente pospuesta. Toda la secuencia de eventos que conducen a la ejecución del código es la siguiente: un actor de amenaza podría aprovechar la API del servicio de elementos, si se expone, para enumerar trivialmente las claves de caché HTML almacenadas en el caché Sitecore y enviar solicitudes de envenenamiento de caché HTTP a esas claves. Esto podría estar encadenado con CVE-2025-53691 para proporcionar un código HTML malicioso que finalmente resulta en la ejecución del código mediante una llamada de información binaria sin restricciones. «Nos las arreglamos para abusar de una ruta de reflexión muy restringida para llamar a un método que nos permite envenenar cualquier clave de caché HTML», dijo Bazydlo. «Ese único primitivo abrió la puerta para secuestrar páginas de plataforma de experiencia Sitecore, y desde allí, dejando caer JavaScript arbitraria para activar una vulnerabilidad posterior a la Auth RCE».

Aug 29, 2025 the Hacker Newscloud Security / Generation AI Imagen esto: su equipo lanza un código nuevo, pensando que todo está bien. Pero oculto hay un pequeño defecto que explota en un gran problema una vez que golpea la nube. Lo siguiente que sabe es que los piratas informáticos están y su empresa está lidiando con un desastre que cuesta millones. Aterrador, ¿verdad? En 2025, la violación promedio de datos llega a las empresas con una factura de $ 4.44 millones a nivel mundial. ¿Y adivina qué? Una gran parte de estos dolores de cabeza proviene de los deslizamientos de seguridad de aplicaciones, como los ataques web que enganchan las credenciales y causan estragos. Si estás en Dev, Ops o Security, probablemente has sentido ese estrés, alertas sin restricciones, equipos que discuten sobre quién tiene la culpa y las arreglos que llevan una eternidad. Pero bueno, no tiene que ser así. ¿Qué pasaría si pudiera detectar esos riesgos temprano, desde el momento, el código se escribe hasta cuando se está ejecutando en la nube? Esa es la magia de la visibilidad de código a nube, y está cambiando cómo los equipos inteligentes manejan la seguridad de las aplicaciones. Nuestro próximo seminario web, «Visibilidad de código a nube: The New Foundation for Modern AppSEC», es su oportunidad de aprender cómo. Está sucediendo el 8 de septiembre de 2025, a solo unas semanas de distancia. Esta no es una conferencia aburrida; Es una verdadera charla de expertos que han estado allí, llenos de consejos que puede usar de inmediato. ¡Regístrese para el seminario web ahora y tome su lugar antes de que se vaya! El verdadero dolor de cabeza que se esconde en sus aplicaciones seamos honestos: a medida que las empresas crecen y empujen más trabajo a los equipos de desarrollo, las cosas se desordenan. Los riesgos aparecen en el código, pero solo aparecen más tarde en la nube, lo que lleva a la confusión, las soluciones lentas y los atacantes que reciben el salto sobre ti. Informes recientes muestran que el manejo ineficiente de vulnerabilidad es un dolor superior para el 32% de las organizaciones, y asegurar herramientas de IA como Genai está justo detrás del 30%. Peor aún, el 97% de las empresas están lidiando con problemas de seguridad relacionados con Genai. Sin una vista clara de código a nube, básicamente está adivinando, y eso deja las puertas abiertas para los malos. He conversado con la gente en las trincheras que comparten historias de guerra: las noches tardías luchando contra los agujeros de parche que podrían haberse solucionado días antes. Es drenador, y con las violaciones que cuestan más que nunca, está llegando a la línea de fondo. ¿La buena noticia? La visibilidad de código a nube conecta los puntos, dándole plena vista a vulnerabilidades, secretos y errores de configuración. Ayuda a los equipos a atrapar problemas temprano, solucionarlos rápidamente y a trabajar juntos mejor, sin más señales. Con lo que se alejará: simples pasos para nivelar su seguridad en este chat rápido de 60 minutos, nuestros profesionales desglosarán por qué este enfoque se está convirtiendo en una imprescindible para los programas de seguridad de aplicaciones. Gartner dice que para 2026, el 40% de las compañías se subirán a herramientas como ASPM para manejar los riesgos más inteligentes. Lo mantendremos directo, sin sobrecarga tecnológica, solo cosas prácticas. Esto es lo que obtendrá: obtenga a todos en la misma página: vea cómo la vinculación del código de los riesgos para el comportamiento en la nube crea un plan compartido simple. Los equipos de Dev, Ops y Security finalmente pueden unirse, reducir el ruido y acelerar la retroalimentación. Concéntrese en lo que realmente importa: aprenda formas fáciles de mapear los riesgos y concentrarse en sus aplicaciones clave. Compartiremos ejemplos reales, como rastrear un fallo de código a su punto débil de la nube, para que pueda conectar agujeros antes de que los hackers noten. Arregle las cosas más rápido: tome ideas paso a paso para automatizar las soluciones y el tiempo de remediación de recorte; algunos equipos ven caídas del 30% o más en vulnerabilidades y días afeitados. Imagine agregar esto a su flujo de trabajo sin ralentizar su trabajo. Manténgase por delante de las nuevas amenazas: cubriremos temas calientes como el uso seguro de la IA y las reglas que presionan para una mejor seguridad. Además, una lista de verificación útil para verificar su configuración y victorias rápidas para probar mañana. Las personas que se han unido a sesiones similares dicen que cambiaron cómo funcionan: «Conectó los puntos y nos impidió perseguir sombras», me dijo un tipo de operaciones. ¿Listo para hacer ese cambio para tu equipo? Regístrese para el seminario web ahora y comience a convertir esas ideas en acción. Mira este seminario web ahora ¿Por qué saltar ahora? Las amenazas no esperan con grandes ataques que aparecen en los titulares, como la violación de Powerschool que golpea a millones o ransomware que se meten con las cadenas de suministro en 2025, la retención no es inteligente. La visibilidad de código a nube no es una tecnología elegante; Es su escudo hornear la seguridad de principio a fin. No espere una crisis, avance y haga que sus aplicaciones sean más difíciles. Los asientos van rápidamente, así que regístrese hoy. También obtendrá una lista de verificación ASPM gratuita y la grabación para ver más tarde. Es una inversión pequeña de tiempo para la gran tranquilidad. Regístrese para el seminario web ahora, ¡no puedo esperar a verte allí! ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Aug 29, 2025Ravie Lakshmananmalware / Windows Security Ciberseguity Investigadores han descubierto una campaña de delito cibernético que está utilizando trucos de malvertición para dirigir a las víctimas a sitios fraudulentos para ofrecer un nuevo robador de información llamado TamperedChef. «El objetivo es atraer a las víctimas a la descarga e instalación de un editor de PDF troyanizado, que incluye un malware que roba información tampedChef», dijeron los investigadores de Truesec Mattias Wåhlén, Nicklas Keijser y Oscar Lejerbäck Wolf publicado en un informe publicado el miércoles. «El malware está diseñado para cosechar datos confidenciales, incluidas credenciales y cookies web». En el corazón de la campaña se encuentra el uso de varios sitios falsos para promover un instalador para un editor PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y lanzado, muestra al usuario un aviso para aceptar los términos de servicio y la política de privacidad del software. En segundo plano, sin embargo, el programa de configuración hace solicitudes encubiertas a un servidor externo para soltar el programa del editor PDF, al tiempo que configura la persistencia en el host realizando cambios en el registro de Windows para garantizar que el ejecutable descargado se inicie automáticamente después de un reinicio. La clave de registro contiene un parámetro de argumentos -cm para aprobar instrucciones al binario. La compañía de seguridad cibernética alemana G Data, que también analizó la actividad, dijo que los diversos sitios web que ofrecen estos editores de PDF descargan el mismo instalador de configuración, que luego descarga el programa PDF Editor desde el servidor una vez que el usuario acepta el acuerdo de licencia. «Luego ejecuta la aplicación principal sin argumentos, que es equivalente a comenzar la rutina de instalación», dijeron los investigadores de seguridad Karsten Hahn y Louis Sorita. «También crea una entrada automática que suministra el argumento de la línea de comando –cm =-FullUpdate para la próxima ejecución de la aplicación maliciosa». Se evalúa que la campaña comenzó el 26 de junio de 2025, cuando muchos de los sitios falsificados estaban registrados o comenzaron a anunciar el software de edición de PDF a través de al menos cinco campañas de publicidad de Google diferentes. «Al principio, el PDF parece haberse comportado principalmente inofensivo, pero el código incluía instrucciones para verificar regularmente las posibles actualizaciones en un archivo .js que incluye los argumentos -cm», explicaron los investigadores. «A partir del 21 de agosto de 2025, las máquinas que volvieron a llamar recibieron instrucciones que activaron las capacidades maliciosas, un robador de información, denominado ‘TamperedChef’.» Una vez inicializado, el robador recopila una lista de productos de seguridad instalados e intentos para terminar los navegadores web para acceder a datos sensibles, como las credenciales y las cookies. Un análisis posterior de la aplicación con malware por datos G ha revelado que actúa como una puerta trasera, lo que respalda una serie de características-INSTALME, para crear tareas programadas llamadas PDFEDITITORSCheduledTask y PDFEditorScheduledTask que ejecuta la aplicación con-cm =-parcialmente y-cm =-argumentos de copia –CleanUp, que el Uninstaler llama para eliminar los archivos de puerta trasera, no registrar la máquina del servidor y eliminar las dos tareas programadas-Ping, iniciar las comunicaciones con un comando y control (C2) para que las acciones se ejecuten en el Sistema, que, entre otros, permiten la descarga adicional de malware, el exfiltration de datos y los cambios en el registro-CHECK, COLACE C2 CON COMACTAR EL SERVITOR C2 CON CONTACTURA, CON CONTACUARIO, CONFIGURAR DE SERVICIO, BREVES DE REDIVIDADES, BROBA DE REDIVIDADES, CON LE REDIVO DE LEDE CABLE. browser settings, and execute arbitrary commands to query, exfiltrate, and manipulate data associated with Chromium, OneLaunch, and Wave browsers, including credentials, browser history, cookies, or setting custom search engines –reboot, same as –check along with capabilities to kill specific processes «The length from the start of the [ad] Campaña hasta que la actualización maliciosa también fue de 56 días, que está cerca de la duración de los 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenaza deja que la campaña publicitaria ejecute su curso, maximizando las descargas, antes de activar las características maliciosas «, dijo Truesec. ONESTART, y editor de PDF.