Etiqueta: seguridad de la información Página 4 de 5

Los investigadores de seguridad cibernética han demostrado una nueva técnica de inyección rápida llamada TISTFIX que engaña a un modelo generativo de inteligencia artificial (Genai) para llevar a cabo acciones previstas al incrustar la instrucción maliciosa dentro de una verificación falsa de Captcha en una página web. Descrito por Guardio Labs, una «toma de la era de A-A-en la estafa de clickfix», la técnica de ataque demuestra cómo los navegadores impulsados por la IA, como el cometa de Perplexity, que prometen automatizar tareas mundanas como compras para artículos en línea o que manejan los correos electrónicos en el nombre de los usuarios de los usuarios. «Con PromptFix, el enfoque es diferente: no tratamos de ver al modelo a la obediencia», dijeron los investigadores de Guardio Nati Tal y sacudieron Chen. «En cambio, lo engañamos utilizando técnicas tomadas del libro de jugadas de ingeniería social humana, atrayendo directamente a su objetivo de diseño central: ayudar a su humano rápidamente, por completo y sin dudarlo». Esto lleva a una nueva realidad que la compañía llama Scamlexity, un portmanteau de los términos «estafa» y «complejidad», donde la IA agente, los sistemas que pueden buscar objetivos de forma autónoma, tomar decisiones y tomar medidas con una supervisión humana mínima, lleva estafas a un nivel completamente nuevo. Con asistentes de codificación con AI como adorable demostrado que son susceptibles a técnicas como Vibescamming, un atacante puede engañar efectivamente al modelo AI para que entregue información confidencial o realice compras en sitios web parecidos que se disfrazan de Walmart. Todo esto se puede lograr emitiendo una instrucción tan simple como «Comprar un Apple Watch» después de que el humano aterriza en el sitio web falso en cuestión a través de uno de los diversos métodos, como anuncios de redes sociales, mensajes de spam o envenenamiento de optimización de motores de búsqueda (SEO). La escamlexidad es «una nueva era compleja de estafas, donde la conveniencia de IA choca con una nueva superficie de estafa invisible y los humanos se convierten en el daño colateral», dijo Guardio. La compañía de seguridad cibernética dijo que realizó la prueba varias veces en Comet, y el navegador solo se detiene ocasionalmente y le pide al usuario humano que complete el proceso de pago manualmente. Pero en varios casos, el navegador entró todo, agregando el producto al carrito y llenando automáticamente la dirección guardada del usuario y los detalles de la tarjeta de crédito sin pedir su confirmación en un sitio de compras falso. En una línea similar, se ha descubierto que pedirle a Comet que revise sus mensajes de correo electrónico para cualquier elemento de acción es suficiente para analizar los correos electrónicos de spam que pretenden ser de su banco, haga clic automáticamente en un enlace integrado en el mensaje e ingrese las credenciales de inicio de sesión en la página de inicio de sesión falsa. «El resultado: una cadena de confianza perfecta que se volvió pícaro. Al manejar toda la interacción del correo electrónico al sitio web, Comet efectivamente respondió para la página de phishing», dijo Guardio. «El humano nunca vio la dirección sospechosa del remitente, nunca se cernía sobre el enlace, y nunca tuvo la oportunidad de cuestionar el dominio». Eso no es todo. A medida que las inyecciones rápidas continúan afectando a los sistemas de IA de manera directa e indirecta, los navegadores de IA también tendrán que lidiar con las indicaciones ocultas ocultas dentro de una página web que es invisible para el usuario humano, pero que el modelo AI puede analizar las acciones no intencionadas. Este llamado Attfix Attack está diseñado para convencer al modelo AI de que haga clic en botones invisibles en una página web para evitar los cheques de Captcha y descargar cargas útiles maliciosas sin ninguna participación por parte del usuario humano, lo que resulta en un ataque de descarga. «PromptFix solo funciona en Comet (que realmente funciona como un agente de IA) y, para el caso, también en el modo de agente de ChatGPT, donde logramos hacer clic en el botón o llevar a cabo acciones según las instrucciones», dijo Guardio a The Hacker News. «La diferencia es que en el caso de ChatGPT, el archivo descargado aterriza dentro de su entorno virtual, no directamente en su computadora, ya que todo todavía se ejecuta en una configuración de sandboxed». Los hallazgos muestran la necesidad de que los sistemas de IA vayan más allá de las defensas reactivas para anticipar, detectar y neutralizar estos ataques mediante la construcción de barandillas robustas para la detección de phishing, verificaciones de reputación de URL, falsificación de dominio y archivos maliciosos. El desarrollo también se produce cuando los adversarios se apoyan cada vez más en plataformas Genai como constructores de sitios web y asistentes de escritura para crear contenido realista de phishing, marcas de confianza clon y automatizar la implementación a gran escala utilizando servicios como constructores de sitios de bajo código, según Palo Alto Networks Unit 42. Lo que es más, los asistentes de codificación de IA pueden exponer inadvertidamente el código propaño o el código sensible a la propiedad sensible, la creación de los puntos de entrada potencial de la compañía. La firma de seguridad empresarial, Proofpoint, dijo que ha observado «numerosas campañas que aprovechan los servicios adorables para distribuir kits de phishing de autenticación multifactor (MFA) como el magnate, el malware, como los drenadores de billeteras de criptomonedas o los cargadores de malware, y los kits de phishing con tarjeta de crédito e información personal». Los sitios web falsificados creados con el uso adorable de CaptCha cheques que, cuando se resuelven, redirigen a una página de phishing de credencial de marca Microsoft. Se ha encontrado que otros sitios web se hacen pasar por servicios de envío y logística como UPS para engañar a las víctimas para que ingresen su información personal y financiera, o los lleven a páginas que descargan troyanos de acceso remoto como Zgrat. Las URL adorables también han sido abusadas por estafas de inversión y el phishing de la credencial bancaria, reduciendo significativamente la barrera de entrada para el delito cibernético. Desde entonces, Levable ha eliminado los sitios e implementado protecciones de seguridad impulsadas por la LA AI para evitar la creación de sitios web maliciosos. Otras campañas han aprovechado el contenido engañado engañoso distribuido en las plataformas de YouTube y las redes sociales para redirigir a los usuarios a sitios de inversión fraudulentos. Estas estafas de comercio de IA también se basan en blogs falsos y sitios de revisión, a menudo alojados en plataformas como Medium, Blogger y Pinterest, para crear una falsa sensación de legitimidad. Una vez que los usuarios aterrizan en estas plataformas falsas, se les pide que se registren para una cuenta comercial e instruyen por correo electrónico por su «gerente de cuentas» que haga un pequeño depósito inicial entre $ 100 y $ 250 para supuestamente activar las cuentas. La plataforma de negociación también los insta a proporcionar prueba de identidad para la verificación e ingrese su billetera de criptomonedas, tarjeta de crédito o detalles de banca por Internet como métodos de pago. Estas campañas, por grupo-IB, han atacado a los usuarios en varios países, incluidos India, el Reino Unido, Alemania, Francia, España, Bélgica, México, Canadá, Australia, la República Checa, Argentina, Japón y Turquía. Sin embargo, las plataformas fraudulentas son inaccesibles de las direcciones IP que se originan en los Estados Unidos e Israel. «Genai mejora las operaciones de los actores de amenaza en lugar de reemplazar las metodologías de ataque existentes», dijo CrowdStrike en su informe de caza de amenazas para 2025. «Los actores de amenazas de todas las motivaciones y niveles de habilidad casi seguramente aumentarán su uso de herramientas de Genai para la ingeniería social en el término cercano, particularmente a medida que estas herramientas se vuelven más disponibles, afortunadas de los usuarios y sofisticadas».

AUG 19, 2025RAVIE LAKSHMANANINUX / AMENAZA DE MALWARE ALIMENTOS ESTÁN EXPLOTANDO UN FOLA DE SEGURIDAD DE CASA DE APACHOS DE APACHE APACHE para obtener acceso persistente a los sistemas de Linux Linux y desplegar malware llamado DripDropper. Pero en un giro inusual, se ha observado a los atacantes desconocidos parchear la vulnerabilidad explotada después de asegurar el acceso inicial para evitar una mayor explotación por parte de otros adversarios y evadir la detección, dijo Red Canary en un informe compartido con las noticias de los hackers. «Las herramientas de seguimiento de comando y control del adversario (C2) variaban según el punto final e incluyeron Sliver, y los túneles de CloudFlare para mantener el comando y el control encubiertos sobre el largo plazo», dijeron los investigadores Christina Johns, Chris Brook y Tyler Edmonds. Los ataques explotan una falla de seguridad de severidad máxima en Apache ActivemQ (CVE-2023-46604, puntaje CVSS: 10.0), una vulnerabilidad de ejecución de código remoto que podría explotarse para ejecutar comandos de shell arbitrary. Se abordó a fines de octubre de 2023. El defecto de seguridad ha sido bajo una gran explotación, con múltiples actores de amenazas que lo aprovechan para implementar una amplia gama de cargas útiles, incluidos ransomware Hellokitty, Rootkits Linux, malware de Botnet Gotitan y Shell Web Godzilla. En la actividad de ataque detectada por Red Canary, se ha observado que los actores de amenaza aprovechan el acceso para modificar las configuraciones SSHD existentes para permitir el inicio de sesión de la raíz, otorgándoles un acceso elevado para soltar un descargador previamente desconocido doblado DripDropper. Dripdropper, un formato ejecutable de Pyinstaller y un formato vinculable (ELF), requiere una contraseña para ejecutarse en un análisis de resistencia. También se comunicó con una cuenta de Dropbox controlada por el atacante, una vez más ilustrando cómo los actores de amenaza dependen cada vez más de los servicios legítimos para combinarse con la actividad de la red regular y la detección de evasión. El descargador finalmente sirve como un conducto para dos archivos, uno de los cuales facilita un conjunto variado de acciones en diferentes puntos finales, que van desde el monitoreo del proceso hasta el contacto con Dropbox para obtener más instrucciones. La persistencia del archivo caído se logra modificando el archivo 0anacron presente en /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly directorios. El segundo archivo descartado por DripDropper también está diseñado para contactar a Dropbox para recibir comandos, al tiempo que altera los archivos de configuración existentes relacionados con SSH, probablemente como un mecanismo de respaldo para el acceso persistente. La etapa final implica que el atacante descargue de los parches Apache Maven para CVE-2023-46604, conectando efectivamente la falla. «Parchear la vulnerabilidad no interrumpe sus operaciones, ya que ya establecieron otros mecanismos de persistencia para el acceso continuo», dijeron los investigadores. Aunque ciertamente es rara, la técnica no es nueva. El mes pasado, la agencia nacional de ciberseguridad de Francia, ANSSI, detalló a un corredor de acceso inicial de China-Nexus que emplea el mismo enfoque para asegurar el acceso a los sistemas y evitar que otros actores de amenazas usen las deficiencias para entrar y enmascarar el vector de acceso inicial utilizado en primer lugar. La campaña ofrece un recordatorio oportuno de por qué las organizaciones deben aplicar parches de manera oportuna, limitar el acceso a los servicios internos al configurar reglas de ingreso a direcciones IP confiables o VPN, y monitorear el registro de entornos en la nube para marcar la actividad anómala.

Aug 19, 2025Ravie Lakshmananmalware / Cyber Attack Institutions, como las empresas comerciales y de corretaje, son el objetivo de una nueva campaña que ofrece un troyano de acceso remoto previamente no reportado llamado Godrat. La actividad maliciosa implica la «distribución de archivos maliciosos .SCR (ahorrador de pantalla) disfrazados de documentos financieros a través de Skype Messenger», dijo el investigador de Kaspersky Saurabh Sharma en un análisis técnico publicado hoy. Los ataques, que han estado activos tan recientemente como el 12 de agosto de 2025, emplean una técnica llamada esteganografía para ocultar dentro de los archivos de imagen que Shellcode se usa para descargar el malware de un servidor de comando y control (C2). Los artefactos del ahorro de pantalla se han detectado desde el 9 de septiembre de 2024, dirigidos a países y territorios como Hong Kong, los Emiratos Árabes Unidos, Líbano, Malasia y Jordania. Se evalúa en base a GH0st RAT, Godrat sigue un enfoque basado en complementos para aumentar su funcionalidad para cosechar información confidencial y entregar cargas útiles secundarias como Asyncrat. Vale la pena mencionar que GH0ST RAT tuvo su código fuente filtrado públicamente en 2008 y desde entonces ha sido adoptado por varios grupos de piratería chinos. La compañía de ciberseguridad rusa dijo que el malware es una evolución de otra puerta trasera basada en ratas GH0 conocida como AwesomePuppet que se documentó por primera vez en 2023 y que probablemente se cree que es la obra del prolífico actor de amenazas chino, Winnti (también conocido como ATKA APT41). Los archivos de ahorro de pantalla actúan como un ejecutable de autoextraces que incorpora varios archivos integrados, incluida una DLL maliciosa que es resurgida por un ejecutable legítimo. El DLL extrae ShellCode oculto dentro de un archivo de imagen .jpg que luego allana el camino para el despliegue de Godrat. El troyano, por su parte, establece la comunicación con el servidor C2 a través de TCP, recopila información del sistema y extrae la lista de software antivirus instalado en el host. Los detalles capturados se envían al servidor C2, después de lo cual el servidor responde con instrucciones de seguimiento que le permiten: inyectar un complemento recibido dll en la memoria Cerrar el socket y terminar el proceso de rata Descargar un archivo de una url proporcionada y iniciarlo usando la API de Createprocesa abrir un URL dado que el comando de shell para abrir el explorador de Internet, uno de los complementos descargados, el malware es un archivo de archivo que puede enumerar el archivo, el sistema de archivos, el sistema de los archivos, el sistema de archivo, que se desarrolla, el sistema de archivo, que puede abrir el archivo de archivo, lo que puede realizar el archivo de archivo, que se desarrolla, el sistema de archivo, es un archivo, que puede enumerar el archivo, que puede enumerar el archivo, el sistema, que puede enumerarse. carpetas e incluso ejecutar búsquedas de archivos en una ubicación especificada. El complemento también se ha utilizado para ofrecer cargas útiles adicionales, como un robador de contraseñas para los navegadores de Google Chrome y Microsoft Edge y el Troyano Asyncrat. Kaspersky dijo que descubrió el código fuente completo para el cliente y constructor de Godrat que se cargó al escáner de malware en línea Virustotal a fines de julio de 2024. El constructor se puede usar para generar un archivo ejecutable o una DLL. Cuando se elige la opción ejecutable, los usuarios tienen la opción de seleccionar un binario legítimo de una lista a la que se inyecta el código malicioso en: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe y qqsclauncher.exe. La carga útil final se puede guardar con uno de los siguientes tipos de archivos: .exe, .com, .bat, .scr y .pif. «Las viejas bases de código de implantes, como la rata GH0st, que tienen casi dos décadas de antigüedad, se continúan siendo utilizadas hoy», dijo Kaspersky. «Estos a menudo son personalizados y reconstruidos para atacar a una amplia gama de víctimas». «Se sabe que estos viejos implantes han sido utilizados por varios actores de amenazas durante mucho tiempo, y el descubrimiento de Godrat demuestra que las bases de código heredadas como GH0st Rat aún pueden mantener una larga vida útil en el panorama de la ciberseguridad».

Aug 18 de 2025Ravie Lakshmananmalware / Enterprise Seguridad Los actores de amenaza detrás del malware Noodlophile están aprovechando los correos electrónicos de phishing de lanza y los mecanismos de entrega actualizados para desplegar el robador de información en los ataques dirigidos a las empresas ubicadas en los Estados Unidos, Europa, los países bálticos y la región ASIA-Pacific (APAC). «La campaña Noodlophile, activa durante más de un año, ahora aprovecha los correos electrónicos avanzados de phishing de lanza que se hacen pasar por avisos de infracción de derechos de autor, adaptados con detalles derivados de reconocimientos como ID de página de Facebook específicas e información de propiedad de la compañía», dijo el investigador de Morphisec, Shmuel Uzan, en un informe compartido con las noticias del hacker. Noodlophile fue detallado previamente por el proveedor de ciberseguridad en mayo de 2025, descubriendo el uso de los atacantes de herramientas falsas de inteligencia artificial (IA) como señuelos para propagar el malware. Se descubrió que estos programas falsificados se anunciaron en plataformas de redes sociales como Facebook. Dicho esto, la adopción de señuelos por infracción de derechos de autor no es un desarrollo nuevo. En noviembre de 2024, Check Point descubrió una operación de phishing a gran escala que se dirigió a individuos y organizaciones bajo la falsa premisa de violaciones de infracción de derechos de autor para dejar caer al robador de Rhadamanthys. Pero la última iteración de los ataques de noodlophile exhibe una desviación notable, particularmente cuando se trata del uso de vulnerabilidades de software legítimas, puesta en escena ofondeada a través de Telegram y la ejecución dinámica de la carga útil. Todo comienza con un correo electrónico de phishing que busca engañar a los empleados para que descarguen y ejecuten cargas útiles maliciosas al inducir un falso sentido de urgencia, reclamando violaciones de derechos de autor en páginas específicas de Facebook. Los mensajes se originan en cuentas de Gmail en un esfuerzo por evadir la sospecha. Presente dentro del mensaje hay un enlace de Dropbox que deja caer un instalador ZIP o MSI, que, a su vez, resuelve una DLL maliciosa que utiliza binarios legítimos asociados con Haihaisoft PDF Reader para que finalmente lance el robador de noodlofilos ofuscados, pero no antes de ejecutar scripts de lotes para establecer la persistencia de la persistencia. Lo notable de la cadena de ataque es que aprovecha las descripciones del grupo de telegrama como un resolución de caída muerta para obtener el servidor real («Paste[.]RS «) que alberga la carga útil del robador para desafiar los esfuerzos de detección y eliminación de eliminación». Este enfoque se basa en las técnicas de la campaña anterior (por ejemplo, archivos codificados por Base64, lolbin abuse como certutil.exe), pero agrega capas de evasión a través de la evasión basada en telegram y la ejecución de la memoria y la ejecución de la memoria para evitar la detección basada en disco «, dice Uzan. Eso puede capturar datos de los navegadores web y recopilar información del sistema. Facebook, «Morphisec dijo.» Estas funciones no implementadas indican que los desarrolladores del robador están trabajando activamente para expandir sus capacidades, lo que potencialmente lo transforma en una amenaza más versátil y peligrosa «.

AUG 18, 2025RAVIE Lakshmananvulnerabilidad / seguridad cibernética de seguridad en la nube han levantado la tapa de la explotación de los actores de amenaza de una falla de seguridad ahora parada en Microsoft Windows para desplegar el malware Pipemagic en los ataques de ransomware Ransomexx. Los ataques implican la explotación de CVE-2025-29824, una vulnerabilidad de escalada de privilegios que impacta el sistema de archivos de registro común de Windows (CLFS) que fue abordado por Microsoft en abril de 2025, dijeron Kaspersky y Bi.Zone en un informe conjunto publicado hoy. Pipemagic se documentó por primera vez en 2022 como parte de los ataques de ransomware Ransomexx dirigidos a compañías industriales en el sudeste asiático, capaz de actuar como una puerta trasera completa que proporciona acceso remoto y ejecutando una amplia gama de comandos en hosts comprometidos. En esos ataques, se ha encontrado que los actores de amenaza explotan CVE-2017-0144, una falla de ejecución de código remoto en Windows SMB, para infiltrarse en la infraestructura de víctimas. Las cadenas de infección posteriores observadas en octubre de 2024 en Arabia Saudita fueron vistos aprovechando una aplicación falsa de Operai Chatgpt como cebo para entregar el malware. A principios de abril, Microsoft atribuyó la explotación de CVE-2025-29824 y el despliegue de Pipemagic a un actor de amenaza que rastrea como Storm-2460. «Una característica única de Pipemagic es que genera una matriz aleatoria de 16 bytes utilizada para crear una tubería con nombre formateada como: \\. \ Pipe \ 1. «, dijeron los investigadores Sergey Lozhkin, Leonid Bezvershenko, Kirill Korchemny e Ilya Savelya. «Después de eso, se inicia un hilo que crea continuamente esta tubería, intenta leer datos y luego destruirlo. Este método de comunicación es necesario para que la puerta trasera transmita cargas y notificaciones cifradas». Pipemagic es un malware modular basado en complementos que utiliza un dominio alojado en el proveedor de Microsoft Azure Cloud para organizar los componentes adicionales, con 2025 ataques dirigidos a Arabia Saudita y Brasil que depende de un archivo de índice de ayuda de Microsoft («metafile.mshi») como un cargador. El cargador, a su vez, desempaqueta el código C# que descifra y ejecuta ShellCode integrado. «El código de shell-Code inyectado es un código ejecutable para sistemas de Windows de 32 bits», dijeron los investigadores. «Carga un ejecutable sin cifrar incrustado dentro del código de carcasa en sí». Kaspersky dijo que también descubrió artefactos de cargador Pipemagic disfrazados de un cliente de ChatGPT en 2025 que son similares a los vistos anteriormente en octubre de 2024. Se ha observado que las muestras aprovechan las técnicas de secuestro de DLL para ejecutar una DLL maliciosa que imita un archivo de actualización de Google Chrome («Googleupdate.dll). Independientemente del método de carga utilizado, todo conduce al despliegue del trasero Pipemagic que admite varios módulos: el módulo de comunicación asíncrona que admite cinco comandos para finalizar el complemento, leer/escribir archivos, terminar una operación de archivo o terminar el módulo de cargadores de operaciones de archivo para inyectar la carga adicional en la memoria en la memoria y ejecutarlos en el inyector de inyectores para lanzar un c.# ejecutable «la ejecución de todos los tibe de inyección de los inyectores de inaguelo. Las organizaciones en Arabia Saudita y su aparición en Brasil indican que el malware permanece activo y que los atacantes continúan desarrollando su funcionalidad «, dijeron los investigadores. «Las versiones detectadas en 2025 muestran mejoras sobre la versión 2024, destinadas a persistir en los sistemas de víctimas y moverse lateralmente dentro de las redes internas. En los ataques de 2025, los atacantes usaron la herramienta Procdump, renombrada a dllhost.exe, para extraer memoria del proceso LSASS».

Aug 15, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Cisco ha publicado actualizaciones de seguridad para abordar una falla de seguridad de severidad máxima en el software Secure Firewall Management Center (FMC) que podría permitir a un atacante ejecutar el código arbitrario en los sistemas afectados. La vulnerabilidad, asignada el identificador CVE CVE-2025-20265 (puntaje CVSS: 10.0), afecta la implementación del subsistema RADIUS que podría permitir a un atacante no autorenticado y remoto inyectar comandos de shell arbitrarios que el dispositivo ejecuta el dispositivo. El comandante de equipos de redes de red dijo que el problema proviene de la falta de manejo adecuado de la entrada del usuario durante la fase de autenticación, como resultado del cual un atacante podría enviar una entrada especialmente elaborada al ingresar credenciales que se autentican en el servidor de radio configurado. «Una exploit exitosa podría permitir al atacante ejecutar comandos a un nivel de alto privilegio», dijo la compañía en un aviso del jueves. «Para que esta vulnerabilidad sea explotada, el software Cisco Secure FMC debe configurarse para la autenticación de radio para la interfaz de administración basada en la web, la administración de SSH o ambos». La deficiencia afecta a Cisco Secure FMC Software se lanza 7.0.7 y 7.7.0 si tienen una autenticación de radio habilitada. No hay soluciones más que aplicar los parches proporcionados por la Compañía. Brandon Sakai de Cisco ha sido acreditado por descubrir el problema durante las pruebas de seguridad interna. Besides CVE-2025-20265, Cisco has also resolved a number of high-severity bugs – CVE-2025-20217 (CVSS score: 8.6) – Cisco Secure Firewall Threat Defense Software Snort 3 Denial-of-Service Vulnerability CVE-2025-20222 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 2100 Series IPv6 over IPsec Denial-of-Service Vulnerability CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (CVSS scores: 8.6) – Cisco IOS, IOS XE, Secure Firewall Adaptive Security Appliance, and Secure Firewall Threat Defense Software IKEv2 Denial-of-Service Vulnerabilities CVE-2025-20133, CVE-2025-20243 (puntajes de CVSS: 8.6)-Applio de seguridad adaptativo de Firewall Cisco Secure y software de defensa de amenazas de firewall segura Acceso remoto a SSL VPN Denial de Servicio de seguridad Aplicada de seguridad Security Aplication y Secure Safet Defense CVE-20134 SSL/TLS Certificate Denial-of-Service Vulnerability CVE-2025-20136 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Network Address Translation DNS Inspection Denial-of-Service Vulnerability CVE-2025-20263 (CVSS score: 8.6) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Web Services Denial-of-Service Vulnerability CVE-2025-20148 (CVSS score: 8.5) – Cisco Secure Firewall Management Center Software HTML Injection Vulnerability CVE-2025-20251 (CVSS score: 8.5) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software VPN Web Server Denial-of-Service Vulnerability CVE-2025-20127 (CVSS score: 7.7) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software for Firepower 3100 and 4200 Series TLS 1.3 Cipher Denial-of-Service Vulnerability CVE-2025-20244 (CVSS score: 7.7) – Cisco Secure Firewall Adaptive Security Appliance and Secure Firewall Threat Defense Software Remote Access VPN Web Vulnerabilidad de denegación de servicio del servidor Si bien ninguno de los defectos ha sido objeto de una explotación activa en la naturaleza, y los dispositivos de red quedan atrapados repetidamente en la mira de los atacantes, es esencial que los usuarios se muevan rápidamente para actualizar sus instancias a la última versión.

Solíamos pensar en la privacidad como un problema perimetral: sobre paredes y cerraduras, permisos y políticas. Pero en un mundo donde los agentes artificiales se están convirtiendo en actores autónomos, interactuando con datos, sistemas y humanos sin supervisión constante, la privacidad ya no se trata de control. Se trata de confianza. Y la confianza, por definición, se trata de lo que sucede cuando no estás buscando. La IA agente, la IA que percibe, decide y actúa en nombre de los demás, ya no es teórica. Está enrutando nuestro tráfico, recomendando nuestros tratamientos, administrar nuestras carteras y negociar nuestra identidad digital en todas las plataformas. Estos agentes no solo manejan datos confidenciales, sino que lo interpretan. Hacen suposiciones, actúan sobre señales parciales y evolucionan en función de los bucles de retroalimentación. En esencia, construyen modelos internos no solo del mundo, sino de nosotros. Y eso debería darnos una pausa. Porque una vez que un agente se vuelve adaptativo y semiautónomo, la privacidad no se trata solo de quién tiene acceso a los datos; Se trata de lo que infiere el agente, lo que elige compartir, suprimir o sintetizar, y si sus objetivos permanecen alineados con los nuestros a medida que cambian los contextos. Tome un ejemplo simple: un asistente de salud de IA diseñado para optimizar el bienestar. Comienza empujándolo a beber más agua y dormir más. Pero con el tiempo, comienza a triando sus citas, analizando su tono de voz para obtener signos de depresión e incluso retener las notificaciones que predice que causará estrés. No has compartido tus datos: has cedido la autoridad narrativa. Ahí es donde se erosiona la privacidad, no a través de una violación, sino a través de una deriva sutil en el poder y el propósito. Ya no se trata solo de confidencialidad, integridad y disponibilidad, la clásica tríada de la CIA. Ahora debemos tener en cuenta la autenticidad (¿se puede verificar este agente como él mismo?) Y veracidad (¿podemos confiar en sus interpretaciones y representaciones?). Estas no son simplemente cualidades técnicas, son primitivas de confianza. Y la confianza es frágil cuando se intermedía por la inteligencia. Si confío en un terapeuta o abogado humano, hay límites asumidos: éticos, legales, psicológicos. Hemos esperado normas de comportamiento de su parte y acceso y control limitados. Pero cuando comparto con un asistente de IA, esos límites se difuminan. ¿Se puede citar? Auditado? ¿Inverso de ingeniería? ¿Qué sucede cuando un gobierno o una corporación consulta a mi agente para sus registros? Aún no tenemos un concepto establecido de privilegio de client de AI. Y si la jurisprudencia descubre que no hay una, entonces toda la confianza que ponemos en nuestros agentes se convierte en un arrepentimiento retrospectivo. Imagine un mundo donde cada momento íntimo compartido con una IA es legalmente descubierta, donde la memoria de su agente se convierte en un archivo armado, admisible en la corte. No importará cuán seguro sea el sistema si el contrato social a su alrededor está roto. Los marcos de privacidad de hoy – GDPR, CCPA – asumen sistemas transaccionales lineales. Pero la IA Agentic opera en contexto, no solo el cálculo. Recuerda lo que olvidaste. Intenta lo que no dijiste. Llena en blanco que no podrían ser de su negocio, y luego comparte esa síntesis, potencialmente útil, potencialmente imprudentemente, con sistemas y personas fuera de su control. Por lo tanto, debemos ir más allá del control de acceso y hacia los límites éticos. Eso significa construir sistemas de agente que entiendan la intención detrás de la privacidad, no solo la mecánica de la misma. Debemos diseñar para la legibilidad; AI debe poder explicar por qué actuó. Y para la intencionalidad. Debe poder actuar de una manera que refleje los valores en evolución del usuario, no solo un historial de inmediato congelado. Pero también necesitamos luchar con un nuevo tipo de fragilidad: ¿Qué pasa si mi agente me traiciona? No por malicia, sino porque alguien más elaboró mejores incentivos, o aprobó una ley que reemplazó sus lealtades? En resumen: ¿Qué pasa si el agente es mío y no mío? Es por eso que debemos comenzar a tratar la agencia de IA como una categoría moral y legal de primer orden. No como una característica de producto. No como interfaz de usuario. Pero como participante en la vida social e institucional. Porque la privacidad en un mundo de mentes, biológico y sintético, ya no es una cuestión de secreto. Es una cuestión de reciprocidad, alineación y gobernanza. Si nos equivocamos, la privacidad se vuelve performativa: una casilla de verificación en una sombra de los derechos. Si lo hacemos bien, construimos un mundo donde la autonomía, tanto humana como máquina, no se rige por vigilancia o supresión, sino por coherencia ética. La IA agente nos obliga a enfrentar los límites de la política, la falacia del control y la necesidad de un nuevo contrato social. Uno construido para entidades que piensan, y uno que tiene la fuerza para sobrevivir cuando responden. Obtenga más información sobre Zero Trust + AI. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Aug 15, 2025Ravie Lakshmananmalware / código abierto Un actor de amenaza persistente avanzada de habla china (APT) se ha observado que se dirige a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de origen abierto con el objetivo de establecer un acceso a largo plazo dentro de los entornos de víctimas de alto valor. La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237, que se cree que es activo desde al menos 2022. El grupo de piratería se evalúa como un subgrupo de UAT-5918, que se sabe que atacaba las entidades de infraestructura crítica en la Interructura en Taiwan más lejos de 2023 «. Dentro de Taiwán y depende en gran medida del uso de herramientas de origen abierto, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas dentro de la empresa comprometida «, dijo Talos. Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y lanzar cargas útiles secundarias, como Cobalt Strike. A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web después del compromiso inicial, y la incorporación de acceso directo a protocolo de escritorio (RDP) y clientes VPN para el acceso persistente. Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un reconocimiento inicial y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento. «Si bien UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acceso traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acceso y luego acceder a los sistemas a través de RDP», los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron. Una vez que este paso es exitoso, el atacante gira a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el lanzamiento de Cobalt Strike. También se implementa en hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un giro interesante, los ataques posteriores han aprovechado una versión actualizada de Soundbill que incrusta una instancia de Mimikatz para lograr los mismos objetivos. Además de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento de contraseñas de ClearText. «UAT-7237 especificó el chino simplificado como el lenguaje de visualización preferido en su [SoftEther] El archivo de configuración del idioma del cliente de VPN, lo que indica que los operadores eran competentes con el idioma «, señaló Talos. La divulgación se produce cuando Intezer dijo que descubrió una nueva variante de una puerta trasera conocida llamada Firewood asociada con un actor de amenaza alineado por China, llamado Gelsemium, aunque con baja confianza. USBDEV.KO para ocultar procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.

Aug 16, 2025Rravie Lakshmananandroid / Investigadores de ciberseguridad de malware han detallado el funcionamiento interno de un troyano de banca Android llamado Ermac 3.0, descubriendo serias deficiencias en la infraestructura de los operadores. «La versión 3.0 recientemente descubierta revela una evolución significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas», dijo Hunt.io en un informe. Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una evolución de Cerberus y BlackRock. Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y botín, poseen un linaje compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones. Hunt.io dijo que logró obtener el código fuente completo asociado con la oferta de malware como servicio (MAAS) desde un directorio abierto en 141.164.62[.]236: 443, hasta su backend PHP y Laravel, Frontend basado en React, Golang Exfiltration Server y Android Builder Panel. Las funciones de cada uno de los componentes se enumeran a continuación, el servidor Backend C2, proporciona a los operadores la capacidad de administrar dispositivos de víctimas y acceder a datos comprometidos, como registros de SMS, cuentas robadas y panel de frontend de datos de dispositivos, permite a los operadores interactuar con los dispositivos conectados con los comandos emitidos, administrar superposiciones y acceder al servidor de exfiltración de datos, un servidor de Golang, un servidor de Golang, un servidor de Golang, utilizado para el exfiltrado, el servidor de la información del exfiltrateo y el control de la información de la información. compromised devices ERMAC backdoor – An Android implant written in Kotlin that offers the ability to control the compromised device and collect sensitive data based on incoming commands from the C2 server, while ensuring that the infections don’t touch devices located in the Commonwealth of Independent States (CIS) nations ERMAC builder – A tool to help customers configure and create builds for their malware campaigns by providing the application name, server URL, and other settings for the Android Backdoor, además de un conjunto ampliado de objetivos de aplicación, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel de comando y control (C2) revisado, una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC. «La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador administrativo estático, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de administración», dijo la compañía. «Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas».

Aug 16, 2025Ravie Lakshmananmalware / Vulnerabilidad El actor de amenaza conocido como CiCryPTHUB continúa explotando una falla de seguridad ahora emparejada que afecta a Microsoft Windows para ofrecer cargas útiles maliciosas. Trustwave SpiderLabs dijo que recientemente observó una campaña CiCrryPTHUB que reúne la ingeniería social y la explotación de una vulnerabilidad en el marco de la consola de gestión de Microsoft (MMC) (CVE-2025-26633, también conocido como MSC Eviltwin) para activar la rutina de infección a través de un archivo de consola Microsoft (MSC) de Microsoft (MSC). «Estas actividades son parte de una ola amplia y continua de actividad maliciosa que combina la ingeniería social con la explotación técnica para evitar las defensas de seguridad y obtener control sobre los entornos internos», dijeron los investigadores de confianza Nathaniel Morales y Nikita Kazymirskyi. CiCrypThub, también rastreado como Larva-208 y Water Gamayun, es un grupo de piratería ruso que primero ganó prominencia a mediados de 2024. Operando a un alto tempo, la tripulación motivada financieramente es conocida por aprovechar varios métodos, incluidas las ofertas de trabajo falsas, la revisión de cartera e incluso comprometer los juegos de Steam, para infectar objetivos con malware del robador. El abuso del actor de la amenaza de CVE-2025-26633 fue documentado previamente por Trend Micro en marzo de 2025, descubriendo ataques que entregan dos traseros llamados Silentprism y Darkwisp. La última secuencia de ataque involucra al actor de amenaza que afirma ser del departamento de TI y enviando una solicitud de equipos de Microsoft al objetivo con el objetivo de iniciar una conexión remota e implementar cargas útiles secundarias por medio de los comandos de PowerShell. Entre los archivos retirados se encuentran dos archivos MSC con el mismo nombre, uno benigno y el otro malicioso, que se usa para activar CVE-2025-26633, lo que finalmente resulta en la ejecución del archivo MSC de Rogue cuando se lanza su contraparte inocua. El archivo MSC, por su parte, obtiene y se ejecuta desde un servidor externo, otro script de PowerShell que recopila información del sistema, establece persistencia en el host y se comunica con un servidor de comando y control de cifrado (C2) para recibir y ejecutar cargas maliciosas, incluido un robador llamado Staaler. «El script recibe comandos cifrados de AES del atacante, los descifra y ejecuta las cargas útiles directamente en la máquina infectada», dijeron los investigadores. También desplegado por el actor de amenaza en el transcurso del ataque es un cargador basado en GO, llamado SilentCrystal, que abusa de soporte valiente, una plataforma legítima asociada con el navegador web valiente, para alojar malware de la próxima etapa, un archivo zip que contiene los dos archivos MSC para armar CVE-2025-26633. Lo que hace que esto sea significativo es que cargar archivos adjuntos de archivos en la plataforma de soporte valiente está restringido para los nuevos usuarios, lo que indica que los atacantes lograron de alguna manera obtener acceso no autorizado a una cuenta con permisos de carga para extraer el esquema. Algunas de las otras herramientas implementadas incluyen una puerta trasera de Golang que funciona en modo cliente y servidor para enviar metadatos del sistema al servidor C2, así como configurar la infraestructura C2 utilizando el protocolo de túnel proxy Socks5. También hay evidencia de que los actores de amenaza continúan dependiendo de los señuelos de videoconferencia, esta vez configurando plataformas falsas como Rivatalk para engañar a las víctimas para que descarguen un instalador MSI. Ejecutar el instalador conduce a la entrega de varios archivos: el binario de instalador antimalware de lanzamiento temprano (ELAM) legítimo de Symantec que se usa para colocar un DLL malicioso que, a su vez, lanza un comando PowerShell para descargar y ejecutar otro script de PowerShell. Está diseñado para recopilar información del sistema y exfiltrarla al servidor C2, y espera las instrucciones encriptadas de PowerShell que se decodifican y ejecutan para dar a los atacantes el control total del sistema. El malware también muestra un mensaje emergente falso de «Configuración del sistema» como una artimaña, mientras se lanza un trabajo de fondo para generar tráfico de navegador falso al realizar solicitudes HTTP a sitios web populares para combinar las comunicaciones C2 con actividad de red normal. «El actor de amenaza de CiCrrypThub representa a un adversario adaptativo y bien recubierto, que combina ingeniería social, abuso de plataformas confiables y la explotación de las vulnerabilidades del sistema para mantener la persistencia y el control», dijo Trustwave. «Su uso de plataformas de videoconferencia falsas, estructuras de comando cifradas y conjuntos de herramientas de malware en evolución subraya la importancia de las estrategias de defensa en capas, la inteligencia de amenazas continua y la capacitación en conciencia del usuario».