Etiqueta: Seguridad de la red Página 2 de 16

sep 11, 2025Ravie LakshmanArtarificial Intelligence / Mobile Security Google anunció el martes que sus nuevos teléfonos Google Pixel 10 admiten la coalición para la procedencia y la autenticidad de contenido (C2PA) estándar de la caja para verificar el origen y la historia del contenido digital. Con ese fin, el soporte para las credenciales de contenido de C2PA se ha agregado a la cámara Pixel y las aplicaciones de Google Photos para Android. El movimiento, dijo Google, está diseñado para promover la transparencia de los medios digitales. Las credenciales de contenido de C2PA son un manifiesto digital firmado criptográfico y revelado de manipulación que proporciona procedencia verificable para contenido digital como imágenes, videos o archivos de audio. El tipo de metadatos, según Adobe, sirve como una «etiqueta de nutrición digital», dando información sobre el creador, cómo se hizo y si se generó utilizando inteligencia artificial (IA). «La aplicación de la cámara Pixel alcanzó el Nivel 2 de Garantía 2, la calificación de seguridad más alta actualmente definida por el programa C2PA Conformance», dijo los equipos de C2PA Security y C2PA Core. «El nivel de aseguramiento 2 para una aplicación móvil solo solo es posible en la plataforma Android». «Pixel 10 teléfonos admiten sellos de tiempo de confianza en el dispositivo, lo que garantiza que las imágenes capturadas con su aplicación de cámara nativa se puedan confiar después de que expire el certificado, incluso si fueron capturadas cuando su dispositivo estaba fuera de línea». La capacidad es posible utilizando una combinación de Google Tensor G5, chip de seguridad Titan M2 y características de seguridad respaldadas por hardware integradas en el sistema operativo Android. Google dijo que ha implementado C2PA para ser seguro, verificable y utilizable fuera de línea, asegurando así que los datos de procedencia sean confiables, el proceso no es identificable personalmente y funciona incluso cuando el dispositivo no está conectado a Internet. Esto se logra utilizando el certificado de la clave de Android para permitir que las autoridades de certificación de Google C2PA (CAS) verifiquen que se están comunicando con una genuina clave de la clave de Android de la clave de Android respaldada por hardware que incluyen el nombre del paquete y los certificados de firma asociados con la aplicación C2PA de la generación de C2PA que utilizan la solicitud de una solicitud de una aplicación de una aplicación de Generación y un registro de firma y que se registran y almacenan C2P de Keys de Keys utilizando C2PA y un Keys de Keys, reclamado de una aplicación registrada y que se registra y que se registra a C2P de Keys de Keys utilizando C2PA y que se reclaman la aplicación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Generación de Generación de Generación y un Genador de Generación de Cinateo de Keys de Keys. StrongBox en el chip de seguridad Titan M2 para la resistencia a la resistencia de la tamper Anónimo, lo que respalda el hardware para certificar nuevas claves criptográficas generadas en el dispositivo sin saber quién está utilizando certificados únicos para firmar cada imagen, por lo que es «criptográficamente imposible» para desonimular el creador en el desarrollo, la autoridad de tiempo fuera de línea (TSA) dentro del componente de Tensor, el componente de Tensor, el chip de Tensor Tensor a generar criticado a la cría criticada de la cría criticada. Se presiona el obturador de la cámara «Las credenciales de contenido C2PA no son la única solución para identificar la procedencia de los medios digitales», dijo Google. «Sin embargo, son un paso tangible hacia una mayor transparencia y confianza de los medios a medida que continuamos desbloqueando más creatividad humana con IA».

Los actores de amenaza afiliados al Grupo de Ransomware Akira han seguido dirigiéndose a los dispositivos SonicWall para el acceso inicial. La firma de seguridad cibernética Rapid7 dijo que observó un aumento en las intrusiones que involucran electrodomésticos de Sonicwall durante el mes pasado, particularmente siguiendo informes sobre la actividad renovada de ransomware Akira desde finales de julio de 2025. Sonicwall posteriormente reveló la actividad de VPN SSL dirigida a sus firewalls involucrados por un año de seguridad de un año (CVE-2024-407666666, CVSss: 9.3. durante la migración y no reiniciar. «Estamos observando una mayor actividad de amenazas de los actores que intentan las credenciales de los usuarios de la fuerza bruta», señaló la compañía. «Para mitigar el riesgo, los clientes deben permitir el filtrado de Botnet para bloquear a los actores de amenaza conocidos y garantizar que las políticas de bloqueo de la cuenta estén habilitadas». Sonicwall también ha instado a los usuarios a revisar los grupos de usuarios predeterminados de LDAP SSL VPN, describiéndolo como un «punto débil crítico» si está mal configurado en el contexto de un ataque de ransomware AKIRA; esta configuración agrega automáticamente cada usuario LDAP autenticado con éxito a un grupo local predefinido, independientemente de su membresía real en un directorio activo. Si ese grupo predeterminado tiene acceso a servicios confidenciales, como SSL VPN, interfaces administrativas o zonas de red sin restricciones, entonces cualquier cuenta publicitaria comprometida, incluso una sin necesidad legítima de esos servicios, heredará instantáneamente esos permisos. Esto omite efectivamente los controles de acceso grupales de AD, lo que brinda a los atacantes una ruta directa al perímetro de la red tan pronto como obtienen credenciales válidas. Rapid7, en su alerta, dijo que también ha observado a los actores de amenaza que acceden al portal de oficina virtual alojado por los electrodomésticos SonicWall, que, en ciertas configuraciones predeterminadas, pueden facilitar el acceso público y permitir a los atacantes configurar MMFA/TOTP con cuentas válidas, suponiendo que haya una exposición de credencial previa. «El grupo Akira está utilizando una combinación de estos tres riesgos de seguridad para obtener acceso no autorizado y realizar operaciones de ransomware», dijo. Para mitigar el riesgo, se aconseja a las organizaciones que rotaran contraseñas en todas las cuentas locales de Sonicwall, eliminen las cuentas locales de Sonicwall no utilizadas o inactivas, aseguren que las políticas de MFA/TOTP estén configuradas y restrinjan el acceso de portal de oficina virtual a la red interna. La orientación de Akira de SonicWall SSL VPNS también ha sido ecológica por el Centro de Seguridad Cibernética (ACSC) australiano, que reconoció que es consciente de la pandilla de ransomware que golpean las organizaciones australianas vulnerables a través de los dispositivos. Desde su debut en marzo de 2023, Akira ha sido una amenaza persistente en el panorama de amenazas de ransomware, reclamando 967 víctimas hasta la fecha, según la información de Ransomware.Live. Según las estadísticas compartidas por Cyfirma, Akira representó 40 ataques en el mes de julio de 2025, lo que lo convierte en el tercer grupo más activo después de Qilin e Inc Ransom. De los 657 ataques de ransomware que afectan a las entidades industriales en todo el mundo marcadas en el segundo trimestre de 2025, Qilin, Akira, y Play Ransomware Families tomaron las tres primeras espacios, cada uno de los informes 101, 79 y 75 incidentes, respectivamente. Akira mantuvo «actividad sustancial con una focalización constante de los sectores de fabricación y transporte a través de sofisticados phishing e implementaciones de ransomware multiplataforma», dijo Dragos de la compañía de ciberseguridad industrial en un informe publicado el mes pasado. Las recientes infecciones por ransomware de Akira también han aprovechado las técnicas de envenenamiento de la optimización de motores de búsqueda (SEO) para administrar instaladores troyanizados para herramientas populares de gestión de TI, que luego se utilizan para soltar el cargador de malware Bumblebee. Los ataques luego utilizan Bumblebee como un conducto para distribuir el marco de emulación y emulación adversario de adaptixc2, instalar Rustdesk para el acceso remoto persistente, exfiltrado e implementar el ransomware. Según la Unidad 42 de Palo Alto Networks, la naturaleza versátil y modular de AdaptIXC2 puede permitir a los actores de amenaza ejecutar comandos, transferir archivos y realizar la exfiltración de datos en sistemas infectados. El hecho de que también sea de código abierto significa que los adversarios pueden personalizarlo para satisfacer sus necesidades. Otras campañas que propagan a AdaptIXC2, dijo la compañía de seguridad cibernética, han utilizado las llamadas de equipos de Microsoft que imitan la mesa de ayuda para engañar a los usuarios desprevenidos para que les otorguen acceso remoto a través de asistencia rápida y soltar un script de PowerShell que descifra y carga en la memoria la carga útil de ShellCode. «El Grupo de Ransomware Akira sigue un flujo de ataque estándar: obtener acceso inicial a través del componente SSLVPN, aumentar los privilegios a una cuenta elevada o una cuenta de servicio, localizar y robar archivos confidenciales de los acciones de la red o los servidores de archivos, deletear o detener copias de seguridad e implementar la cifra de ransomware en el nivel del hipervisor

Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular Apple MacOS llamada ChillyHell y un troyano de acceso remoto (rata) basado en GO llamado Zynorrat que puede apuntar a los sistemas Windows y Linux. Según un análisis de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel. Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el grupo de piratería ha estado activo desde al menos octubre de 2022. Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un presunto actor de espionaje que se ha observado que compromete los sitios web de las entidades gubernamentales ucranianas para redirigir e diseñar objetivos socialmente para ejecutar Matanbuchus o Chillyhell Malware. La compañía de gestión de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware. Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, después de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75[.]252 o 148.72.172[.]53) sobre HTTP o DNS, y entra en un bucle de comando para recibir más instrucciones de sus operadores. Para configurar la persistencia, ChillyHell se instala como un lanzamiento de AGENT o un sistema de lanzamiento del sistema. Como mecanismo de respaldo, altera el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para inyectar un comando de lanzamiento en el archivo de configuración. Una táctica notable adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas. «Si no tiene un permiso suficiente para actualizar las marcas de tiempo mediante una llamada del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una cadena formateada que representa una fecha del pasado como argumento incluido al final del comando», los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt. ChillyHell admite una amplia gama de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva versión del malware, obtener cargas útiles adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de «/etc/passwd» y realizar ataques de fuerza bruta utilizando una lista de contraseña predefinida retrate del servidor C2. «Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible», dijo Jamf. «Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS actual». «En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código malicioso no se firma». Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (también conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte ninguna superposición con otras familias de malware conocidas. Compilado con GO, la versión de Linux admite una amplia gama de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios de SystemD y la ejecución de comandos arbitrarios – /fs_list, para enumerar los directores /fs_get, a los archivos de exfiltrado de los archivos de host /métricos, para realizar el comando de system, para realizar el comando «, los» PS «. Un proceso específico al pasar el PID como entrada /captura_display, para tomar capturas de pantalla /persistir, para establecer persistencia La versión de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados ​​en Linux. Esto probablemente indica que el desarrollo de la variante de Windows es un trabajo en progreso. «Su objetivo principal es servir como una herramienta de colección, exfiltración y acceso remoto, que se gestiona centralmente a través de un bot de telegrama», dijo la investigadora de Sysdig, Alessandra Rizzo. «Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima». Un análisis posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas útiles se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede haber «infectado» sus propias máquinas para probar la funcionalidad. Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, dado el lenguaje utilizado en los chats de telegrama. «Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero», dijo Rizzo. «La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en evolución del malware moderno, incluso dentro de sus primeras etapas».

sep 10, 2025Rravie Lakshmanancybersecurity / malware Un grupo avanzado de amenaza persistente (APT) de China se ha atribuido al compromiso de una compañía militar con sede en Filipinas que utiliza un marco de malware previamente innegumiado llamado Eggstreme. «Este conjunto de herramientas de varias etapas logra un espionaje persistente y de bajo perfil al inyectar un código malicioso directamente en la memoria y aprovechar la versión lateral de DLL para ejecutar cargas útiles», dijo el investigador de Bitdefender, Bogdan Zavadovschi, en un informe compartido con las noticias del hacker. «El componente central, Eggstremeagent, es una puerta trasera con todas las funciones que permite un amplio reconocimiento del sistema, movimiento lateral y robo de datos a través de un keylogger inyectado». La orientación de Filipinas es un patrón recurrente para los grupos de piratería patrocinados por el estado chino, particularmente a la luz de las tensiones geopolíticas alimentadas por disputas territoriales en el Mar del Sur de China entre China, Vietnam, Filipinas, Taiwán, Malasia y Brunei. El proveedor de ciberseguridad rumano, que detectó signos de actividad maliciosa por primera vez a principios de 2024, describió a Eggstreme como un conjunto de componentes maliciosos bien integrados que está diseñado para establecer un «punto de apoyo resistente» en las máquinas infectadas. El punto de partida de la operación de varias etapas es una carga útil llamada Eggstremefuel («MSCorsvc.dll») que realiza el perfil del sistema y implementa Eggstremeloader para configurar la persistencia y luego ejecuta EggstremereFlectiveLoader, que, a su vez, desencadena Eggstremeage. Las funciones de EggstremeFuel se realizan abriendo un canal de comunicación activo con un comando y control (C2), permitiéndole: obtener información de la unidad iniciar cmd.exe y establecer comunicación a través de tuberías cierran graciosamente todas las conexiones y apagado leer un archivo y guardarlo en disco Leer un archivo local de una ruta dada y transmitir su contenido envía la dirección de IP externa al hacer una solicitud a mixternalip[.]COM/RAW Volcar la configuración en memoria al disco llamando a Eggstremeagent el «sistema nervioso central» del marco, la puerta trasera funciona al monitorear las nuevas sesiones de usuario e inyectar un componente de Keylogger denominado EggstremeKeylogger para cada sesión para cosechar KeyStrokes y otros datos sensibles. Se comunica con un servidor C2 utilizando el protocolo de llamada de procedimiento remoto de Google (GRPC). Admite 58 comandos impresionantes que permiten una amplia gama de capacidades para facilitar el descubrimiento local y de red, la enumeración del sistema, la ejecución arbitraria de shellcode, la escalada de privilegios, el movimiento lateral, la exfiltración de datos e inyección de la carga útil, incluido un implante auxiliar en código Eggstremewizard («Xwizards.dll»).).).). «Los atacantes usan esto para lanzar un binario legítimo que SideLoads the Malicious DLL, una técnica que abusan constantemente a lo largo de la cadena de ataque», señaló Zavadovschi. «Esta puerta trasera secundaria proporciona capacidades de acceso de shell inversa y carga de archivos/descarga. Su diseño también incorpora una lista de múltiples servidores C2, mejorando su resistencia y asegurando que la comunicación con el atacante pueda mantenerse incluso si se desconecta un servidor C2». La actividad también se caracteriza por el uso de la utilidad proxy de Stowaway para establecer una posición de red interna. Para complicar aún más la detección, es la naturaleza sin archivo del marco, lo que hace que el código malicioso se cargue y ejecute directamente en la memoria sin dejar ningún rastro en el disco. «Esto, junto con el uso intensivo de la carga lateral de DLL y el sofisticado flujo de ejecución de varias etapas, permite que el marco funcione con un perfil bajo, por lo que es una amenaza significativa y persistente», dijo Bitdefender. «La familia de malware Eggstreme es una amenaza altamente sofisticada y múltiple diseñada para lograr un acceso persistente, movimiento lateral y exfiltración de datos. El actor de amenaza demuestra una comprensión avanzada de las técnicas defensivas modernas mediante el empleo de una variedad de tácticas para evadir la detección».

sep 10, 2025Ravie Lakshmananvulnerabilidad / seguridad de software Adobe advirtió sobre una falla de seguridad crítica en sus plataformas de comercio y código abierto de Magento que, si se explotan con éxito, podrían permitir a los atacantes tomar el control de las cuentas de los clientes. La vulnerabilidad, rastreada como CVE-2025-54236 (también conocida como SessionReaper), conlleva una puntuación CVSS de 9.1 de un máximo de 10.0. Se ha descrito como una falla de validación de entrada inadecuada. Adobe dijo que no es consciente de ninguna hazaña en la naturaleza. «Un posible atacante podría hacerse cargo de las cuentas de los clientes en Adobe Commerce a través de la API de comercio REST», dijo Adobe en un aviso emitido hoy. El problema impacta los siguientes productos y versiones: Adobe Commerce (todos los métodos de implementación): 2.4.9-Alpha2 y anteriores 2.4.8-P2 y anteriores 2.4.7-P7 y anteriores 2.4.6-P12 y anteriores 2.4.5-p14 y 2.4.4-p15 y Adobe Commerce B2B: 1.5.3-alfa2 y más temprano 1. 1.3.3-P15 y Magento Open Open: 2.4.9-Alpha2 y anteriormente 2.4.8-P2 y anteriores 2.4.7-P7 y 2.4.6-p12 y anteriores 2.4.5-P14 y atributos anteriores de los atributos del módulo serializable: Adobe, además de lanzar un hotfix para los comerciantes de la vulnerabilidad, dicho que ha implementado las reglas de aplicaciones de aplicaciones (WAF) a los entornos de protección contra los entornos de explotación de explotación de la expulsión de la vulnerabilidad. Comercio sobre infraestructura en la nube. «SessionReaper es una de las vulnerabilidades magento más severas en su historia, comparable a Shoplift (2015), Ambionics SQLI (2019), Trojanorder (2022) y Cosmicsting (2024)», dijo la compañía de seguridad de comercio electrónico Sansec. La firma de los Países Bajos dijo que reprodujo con éxito una posible forma de explotar CVE-2025-54236, pero señaló que hay otras posibles vías para armarse la vulnerabilidad. «La vulnerabilidad sigue un patrón familiar del ataque Cosmicsting del año pasado», agregó. «El ataque combina una sesión maliciosa con un error de deserialización anidado en la API REST de Magento». «El vector de ejecución de código remoto específico parece requerir el almacenamiento de la sesión basado en archivos. Sin embargo, recomendamos que los comerciantes que usan Redis o sesiones de base de datos también tomen medidas inmediatas, ya que hay múltiples formas de abusar de esta vulnerabilidad». Adobe también ha enviado correcciones para contener una vulnerabilidad transversal de ruta crítica en ColdFusion (CVE-2025-54261, CVSS Puntuación: 9.0) que podría conducir a una escritura arbitraria del sistema de archivos. Impacta ColdFusion 2021 (actualización 21 y anterior), 2023 (actualización 15 y anterior) y 2025 (actualización 3 y anterior) en todas las plataformas.

Los actores de amenaza están abusando de las herramientas de clientes HTTP como Axios en conjunto con la función de envío directo de Microsoft para formar una «tubería de ataque altamente eficiente» en las recientes campañas de phishing, según nuevos hallazgos de Reliaquest. «La actividad del agente de usuarios de Axios aumentó el 241% de junio a agosto de 2025, eclipsando el crecimiento del 85% de todos los demás agentes de usuarios marcados combinados», dijo la compañía de seguridad cibernética en un informe compartido con Hacker News. «De 32 agentes de usuario marcados observados en este plazo, Axios representó el 24.44% de toda la actividad». El abuso de Axios fue marcado previamente por ProGoint en enero de 2025, detallando campañas que utilizan clientes HTTP para enviar solicitudes HTTP y recibir respuestas HTTP de los servidores web para realizar ataques de adquisición de cuentas (ATO) en entornos de Microsoft 365. Reliaquest le dijo a The Hacker News que no hay evidencia que sugiera que estas actividades estén relacionadas, y agregó que la herramienta se explota regularmente junto con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro que se adopta por todo tipo de actores de amenazas, independientemente de los niveles o motivación de sofisticación», agregó la compañía. Del mismo modo, las campañas de phishing también se han observado cada vez más utilizando una característica legítima en Microsoft 365 (M365) llamado envío directo a usuarios de confianza falsos y distribuir mensajes de correo electrónico. Al amplificar el abuso de Axios a través del envío directo de Microsoft, el ataque tiene como objetivo armarse un método de entrega confiable para garantizar que sus mensajes pasen más allá de las puertas de enlace seguras y aterricen en las bandejas de entrada de los usuarios. De hecho, se ha encontrado que los ataques que emparejaron a Axios con Send directo logran una tasa de éxito del 70% en las recientes campañas, aumentando las campañas de no axios pasadas con «eficiencia incomparable». Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente destacando ejecutivos y gerentes en sectores de finanzas, atención médica y manufactura, antes de ampliar su enfoque para atacar a todos los usuarios. Llamando al enfoque que cambia el juego para los atacantes, la compañía señaló que la campaña no solo tiene éxito para evitar las defensas de seguridad tradicionales con una precisión mejorada, sino que también les permite montar las operaciones de phishing a una escala sin precedentes. En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que permite capturar los tokens de sesión o los códigos de autenticación de factores múltiples (MFA) en tiempo real o explotar tokens SAS en flujos de trabajo de autenticación de Azure para obtener acceso a recursos sensibles. «Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización ofrecida por Axios permite a los atacantes adaptar su actividad para imitar aún más los flujos de trabajo legítimos». Los mensajes de correo electrónico implican el uso de señuelos con temas de compensación para engañar a los destinatarios para que abran documentos PDF que contienen códigos QR maliciosos, que, cuando escanean, dirían a los usuarios que falsan páginas de inicio de sesión que imiten a Microsoft Outlook para facilitar el robo de credenciales. Como una capa adicional de evasión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para capitalizar la reputación de la plataforma de desarrollo de aplicaciones. Además de reducir la barrera técnica para ataques sofisticados, la prevalencia de Axios en las configuraciones empresariales y de desarrolladores también significa que ofrece a los atacantes una forma de combinarse con el tráfico regular y volar bajo el radar. Para mitigar el riesgo planteado por esta amenaza, se aconseja a las organizaciones que obtengan el envío directo y lo desactive si no se requiere, configure las políticas apropiadas contra la especie en las puertas de enlace de correo electrónico, capacite a los empleados para reconocer los correos electrónicos de phishing y bloquear los dominios sospechosos. «Axios amplifica el impacto de las campañas de phishing al cerrar la brecha entre el acceso inicial y la explotación a gran escala. Su capacidad para manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las credenciales robadas de manera que son escalables y precisos». «Esto hace que Axios sea integral para el creciente éxito de las campañas de phishing de envío directo, que muestra cómo los atacantes están evolucionando más allá de las tácticas de phishing tradicionales para explotar los sistemas de autenticación y las API a un nivel que las defensas tradicionales están mal equipadas para manejar». El desarrollo se produce cuando Mimecast detalló una campaña de recolección de credenciales a gran escala dirigida a profesionales de la industria hotelera al hacerse pasar por plataformas de gestión de hoteles de confianza. «Esta operación de recolección de credenciales aprovecha la naturaleza rutinaria de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea líneas de asunto urgentes y críticas de negocios diseñadas para provocar acciones inmediatas de los gerentes y el personal de los hoteles». Los hallazgos también siguen el descubrimiento de una campaña en curso que ha empleado una oferta naciente de phishing as-a-Service (PHAAS) llamada Salty 2FA para robar credenciales de inicio de sesión de Microsoft y Sidestep MFA simulando seis métodos diferentes: autenticación de SMS, aplicaciones de autenticador, llamadas telefónicas, notificaciones de respaldo, códigos de respaldo y hardware tokens. La cadena de ataque es notable por aprovechar servicios como AHA[.]IO para organizar páginas de destino iniciales que se disfrazan de notificaciones para compartir por correo electrónico para engañar a los destinatarios de correo electrónico y engañarlos para que hagan clic en enlaces falsos que redirigen a las páginas de cosecha de credenciales, pero no antes de completar una verificación de verificación de tendencia de CloudFlare para filtrar herramientas y lijados automatizados de seguridad. Las páginas de phishing también incluyen otras características avanzadas como geofencing y filtrado de IP para bloquear el tráfico de los rangos de direcciones IP de proveedores de seguridad conocidos y los proveedores de la nube, deshabilitar los atajos para iniciar herramientas de desarrolladores en navegadores web y asignar nuevos subdominios para cada sesión de víctimas. Al incorporar estas técnicas, el objetivo final es complicar los esfuerzos de análisis. Estos hallazgos ilustran cómo los ataques de phishing han madurado en las operaciones de grado empresarial, utilizando tácticas de evasión avanzadas y convencer a las simulaciones de MFA, al tiempo que explotan plataformas confiables e imitan portales corporativos para dificultar la distinción entre actividades reales y fraudulentas. «El kit de phishing implementa la funcionalidad de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El análisis técnico revela que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión fraudulentas basadas en dominios de correo electrónico de víctimas». «Salty2FA demuestra cómo los ciberdelincuentes ahora se acercan a la infraestructura con la misma planificación metódica que las empresas usan para sus propios sistemas. Lo que hace que esto sea particularmente preocupante es cómo estas técnicas difuminan la línea entre el tráfico legítimo y malicioso».

Es la temporada de presupuesto. Una vez más, la seguridad está siendo cuestionada, escrutada o deprimida. Si es un líder de CISO o de seguridad, es probable que se haya encontrado explicando por qué su programa es importante, por qué una herramienta o plantilla determinada es esencial, y cómo la próxima violación está a un punto ciego de distancia. Pero estos argumentos a menudo se quedan cortos a menos que estén enmarcados de una manera que la junta pueda entender y apreciar. Según un análisis de Gartner, el 88% de las juntas ven ciberseguridad como un riesgo comercial, en lugar de un problema de TI, sin embargo, muchos líderes de seguridad aún luchan por elevar el perfil de la ciberseguridad dentro de la organización. Para que los problemas de seguridad resuenen entre la junta, necesita hablar su idioma: continuidad del negocio, cumplimiento y impacto en el costo. A continuación se presentan algunas estrategias para ayudarlo a enmarcar la conversación, transformando lo técnico y complejo en directivas comerciales claras. Reconocer las amenazas cibernéticas altas en juego continúan evolucionando, desde los ataques de ransomware y la cadena de suministro hasta amenazas persistentes avanzadas. Tanto las grandes empresas como las organizaciones medianas son objetivos. El impacto comercial de una violación es significativo. Interrumpe las operaciones, daña la reputación y incurre en sanciones sustanciales. Para evitar esto, las organizaciones deben adoptar un enfoque proactivo como la gestión continua de la exposición a las amenazas. La validación continua a través de pruebas frecuentes y automatizadas ayuda a identificar nuevos vectores de ataque antes de que se intensifiquen. Alinee la estrategia de seguridad con los objetivos comerciales La Junta no aprueba los presupuestos de seguridad en función del miedo o la incertidumbre. Quieren ver cómo su estrategia protege los ingresos, mantiene el tiempo de actividad y respalda el cumplimiento. Eso significa traducir objetivos técnicos en resultados que se alinean con las iniciativas comerciales. Defina los KPI medibles como el tiempo para detectar o remediar, y colocar su hoja de ruta junto con los próximos proyectos como nuevos despliegue del sistema o fusiones y adquisiciones. Cree un marco centrado en el riesgo Cuando solicite más presupuesto, debe mostrar priorización. Eso comienza identificando y clasificando sus activos centrales, datos de clientes, sistemas de propiedad e infraestructura. Siempre que sea posible, cuantifique lo que una violación podría costarle al negocio. Esto ayuda a definir umbrales de riesgo aceptables y guías de inversión. Uno de nuestros clientes, un proveedor de seguros con sede en Estados Unidos, estimó que una violación de su base de datos de titulares de pólizas, que tenía una gran cantidad de PII del cliente, podría costarle al negocio más de $ 5 millones en multas regulatorias e ingresos perdidos. Esta proyección les ayudó a priorizar vulnerabilidades que podrían conducir a este activo y validar sus controles de seguridad circundantes. Al enfocar los esfuerzos de seguridad en los activos de alto valor, fortalecieron su seguridad donde más importaba, y podrían mostrarle a la junta exactamente por qué la inversión estaba justificada. Use los estándares de la industria para fortalecer las regulaciones y marcos de su caso como ISO 27001, NIST, HIPAA y PCI DSS son aliados útiles para presentar su caso. Proporcionan una línea de base para una buena higiene de seguridad y le dan a liderazgo algo familiar para anclar sus decisiones. Pero el cumplimiento no garantiza la seguridad. Use la retroalimentación de auditoría para resaltar la brecha y demostrar cómo la validación agrega una capa de protección del mundo real. Jay Martin, CISO de Cofco International, compartió en un panel reciente alojado en Pentera que «solíamos construir solicitudes de presupuesto sobre las mejores prácticas, pero lo que funcionó fue mostrar dónde estábamos expuestos, y qué tan rápido pudimos solucionarlo». Elaborar un estuche de negocios que se interponga en el ROI de seguridad de la sala de juntas no se trata solo de ahorros de costos. Se trata de evitar pérdidas, violaciones, tiempo de inactividad, sanciones legales y daños en la marca. La validación de seguridad automatizada muestra las primeras victorias al descubrir exposiciones que las herramientas tradicionales pierden. Estos incluyen configuraciones erróneas, permisos excesivos y credenciales filtradas que se demuestra que son explotables en su entorno. Esto prueba la probabilidad de un ataque antes de que realmente suceda. Este tipo de evidencia muestra exactamente dónde existe el riesgo y qué tan rápido se puede solucionar. Le da al liderazgo una razón clara para expandir el programa y posicionar la seguridad como un facilitador de negocios, no solo un centro de costos. Comuníquese con el mensaje correcto para cada junta de audiencia, desea comprender cómo las decisiones de seguridad afectan el negocio, ya sea proteger los ingresos, evitar las sanciones regulatorias o reducir las consecuencias financieras de una violación. Los equipos de seguridad necesitan detalles operativos. Pinchar esa brecha es parte de su papel. Adapte su mensaje para cada grupo y use ejemplos reales cuando sea posible. Compartir historias de cómo las organizaciones en industrias similares fueron afectadas por pasos en falso o lograron gracias a la inversión proactiva. Muestre cómo su plan crea alineación entre los departamentos y construye una cultura de responsabilidad compartida. Manténgase a la vanguardia de las amenazas emergentes con los ataques cibernéticos de pruebas reales evolucionan rápidamente. Las amenazas que no existían el último trimestre podrían ser su mayor riesgo hoy. Es por eso que la validación de seguridad debe ser una práctica continua. Los atacantes no están esperando su ciclo de revisión trimestral, y sus defensas tampoco deberían. Las pruebas de penetración automatizada frecuentes ayudan a descubrir puntos ciegos a través de infraestructura, entornos de nubes y sistemas asociados. Las pruebas continuas también le permiten mostrar su tablero exactamente qué preparado está para las amenazas actuales, especialmente las de alto perfil que dominan los titulares. El seguimiento de cómo su organización se mantiene contra estas amenazas con el tiempo le da una manera clara de demostrar el progreso. Este nivel de transparencia genera confianza y ayuda a cambiar la conversación del miedo y la incertidumbre a la preparación y la mejora medible. Evite los desechos presupuestarios de demasiadas inversiones de seguridad se convierten en estantería, no porque las herramientas sean malas, sino porque están subutilizadas, mal integradas o carecen de una propiedad clara. Asegúrese de que cada solución se asigne a una necesidad específica. Presupuesto no solo para licencias, sino también para capacitación y apoyo operativo. Las auditorías de herramientas regulares pueden ayudarlo a optimizar los esfuerzos, reducir la redundancia y enfocar el gasto donde ofrece el mayor valor. Finalice un plan presupuestario escalable y defendible Los planes de presupuesto más sólidos desglosan el gasto por categoría: prevención, detección, respuesta y validación, y muestre cómo cada área contribuye a la imagen más grande. Muestre cómo su plan escala con el negocio para que cada decisión continúe brindando valor. Para apoyar la expansión en nuevas regiones, una empresa de fabricación global utilizó la validación de seguridad automatizada para establecer las mejores prácticas para endurecer los activos y configurar los controles de seguridad. Debido a que incluyeron una validación continua desde el principio, evitaron el alto costo de las pruebas manuales y la tensión operativa de asignar recursos adicionales. Lo más importante, mantuvieron una fuerte postura de seguridad durante su expansión al descubrir y remediar exposiciones reales antes de que los atacantes pudieran explotarlos. Takeaways: Demuestre Security El valor comercial La seguridad ya no es un centro de costos, es un facilitador de crecimiento. Cuando valida continuamente sus controles, cambia la conversación de suposiciones a evidencia. Esa evidencia es lo que los tableros quieren ver. Use estándares para su ventaja. Demuestre que no solo cumple con las expectativas, sino que reduce activamente el riesgo. Y, sobre todo, sigue argumentando que la inversión inteligente y continua en ciberseguridad protege el negocio hoy y crea resiliencia para mañana. Para ir más allá de las auditorías únicas y las revisiones anuales, consulte nuestra Guía de cabras sobre cómo comunicar el riesgo a la Junta. Le muestra cómo usar la validación continua, no solo para defender su organización, sino que también demuestra que su estrategia de seguridad está funcionando. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

sep 08, 2025Ravie Lakshmanansupply Chain Attack / API Security Salesloft ha revelado que la violación de datos vinculada a su aplicación de deriva comenzó con el compromiso de su cuenta GitHub. Mandiant, propiedad de Google, que comenzó una investigación sobre el incidente, dijo que el actor de amenazas, rastreado como UNC6395, accedió a la cuenta de Github de Salesloft desde marzo hasta junio de 2025. Hasta ahora, 22 compañías han confirmado que se vieron afectadas por una violación de la cadena de suministro. «Con este acceso, el actor de amenaza pudo descargar contenido de múltiples repositorios, agregar un usuario invitado y establecer flujos de trabajo», dijo Salesloft en un aviso actualizado. La investigación también descubrió actividades de reconocimiento que ocurrieron entre marzo de 2025 y junio de 2025 en los entornos de aplicación de SalesLoft y Drift. Sin embargo, enfatizó que no hay evidencia de ninguna actividad más allá del reconocimiento limitado. En la siguiente fase, los atacantes accedieron al entorno de Amazon Web Services (AWS) de Drift y obtuvieron tokens OAuth para las integraciones tecnológicas de los clientes de Drift, con los tokens OAuth robados utilizados para acceder a datos a través de integraciones de deriva. Salesloft dijo que ha aislado la infraestructura de deriva, la aplicación y el código, y que la aplicación fuera a partir del 5 de septiembre de 2025 a las 6 a.m. ET. También ha girado las credenciales en el entorno SalesLoft y endureció el entorno con controles de segmentación mejorados entre las aplicaciones de SalesLoft y Drift. «Recomendamos que todas las aplicaciones de terceros se integren con Drift a través de la clave API, revocen proactivamente la clave existente para estas aplicaciones», agregó. Al 7 de septiembre de 2025 a las 5:51 pm UTC, Salesforce ha restaurado la integración con la plataforma SalesLoft después de suspenderla temporalmente el 28 de agosto. Esto se ha hecho en respuesta a medidas de seguridad y pasos de remediación implementados por SalesLoft. «Salesforce ha vuelto a habilitar las integraciones con SalesLoft Technologies, con la excepción de cualquier aplicación de deriva», dijo Salesforce. «La deriva permanecerá deshabilitada hasta nuevo aviso como parte de nuestra respuesta continua al incidente de seguridad».

sep 05, 2025Ravie Lakshmananmalware / criptomonedas cibernéticas Los investigadores han marcado una nueva campaña de malware que ha aprovechado los archivos de gráficos vectoriales escalables (SVG) como parte de los ataques de phishing que se sufre el sistema judicial colombiano. Los archivos SVG, según Virustotal, se distribuyen por correo electrónico y están diseñados para ejecutar una carga útil de JavaScript incrustada, que luego decodifica e inyecta una página de phishing HTML codificada Base64 disfrazada de portal para el general de la fiscalía de la Nación, la Oficina del Fiscal General de Colombia. Luego, la página simula un proceso oficial de descarga de documentos del gobierno con una barra de progreso falsa, mientras que desencadena sigilosamente la descarga de un archivo zip en el fondo. No se reveló la naturaleza exacta del archivo zip. El servicio de escaneo de malware propiedad de Google dijo que encontró 44 archivos SVG únicos, todos los cuales no han sido detectados por motores antivirus, debido al uso de técnicas como la ofuscación, el polimorfismo y grandes cantidades de código basura para evadir los métodos de detección estática. En total, se han detectado hasta 523 archivos SVG en la naturaleza, con la primera muestra que se remonta al 14 de agosto de 2025. «Mirando más profundo, vimos que las muestras más tempranas eran más grandes, alrededor de 25 MB, y el tamaño disminuyó con el tiempo, lo que sugiere que los atacantes estaban evolucionando sus cargas útiles», dijo Virustotal. La divulgación se produce cuando las versiones descifradas de software legítimo y tácticas de estilo ClickFix se están utilizando para atraer a los usuarios a infectar sus sistemas Apple MacOS con un robador de información llamado Atomic Macos Stealer (AMOS), exponiendo a las empresas al relleno de credenciales, un robo financiero y otros ataques de seguimiento. «AMOS está diseñado para un amplio robo de datos, capaz de robar credenciales, datos del navegador, billeteras de criptomonedas, chats de telegrama, perfiles VPN, elementos de llavero, notas de Apple y archivos de carpetas comunes», dijo Trend Micro. «Amos muestra que MacOS ya no es un objetivo periférico. A medida que los dispositivos MacOS ganan terreno en entornos empresariales, se han convertido en un enfoque más atractivo y lucrativo para los atacantes». La cadena de ataque esencialmente implica dirigir a los usuarios que buscan software descifrado en sitios como HAXMAC[.]CC, redirigirlos a enlaces de descarga falsos que proporcionan instrucciones de instalación diseñadas para engañarlos en la ejecución de comandos maliciosos en la aplicación Terminal, lo que desencadena la implementación de AMOS. Vale la pena señalar que Apple evita la instalación de archivos .dmg que carecen de notarización adecuada debido a las protecciones de Gatekeeper de MacOS, que requieren que los paquetes de aplicación sean firmados por un desarrollador identificado y notarizado por Apple. «Con el lanzamiento de MacOS Sequoia, los intentos de instalar archivos .dmg maliciosos o sin firmar, como los utilizados en las campañas de AMOS, están bloqueados de forma predeterminada», agregó la compañía. «Si bien esto no elimina el riesgo por completo, especialmente para los usuarios que pueden pasar por alto las protecciones incorporadas, plantea la barrera de infecciones exitosas y obliga a los atacantes a adaptar sus métodos de entrega». Esta es la razón por la cual los actores de amenaza están depositando cada vez más en ClickFix, ya que permite que el robador se instale en la máquina utilizando el terminal mediante un comando CURL especificado en la página de descarga de software. «Si bien las protecciones de Gatekeeper mejoradas de MacOS Sequoia bloquearon con éxito las infecciones tradicionales basadas en .DMG, los actores de amenaza giraron rápidamente a los métodos de instalación basados ​​en terminales que demostraron ser más efectivos para evitar los controles de seguridad», dijo Trend Micro. «Este cambio resalta la importancia de las estrategias de defensa en profundidad que no dependen únicamente de las protecciones del sistema operativo incorporado». El desarrollo también sigue el descubrimiento de una «campaña cibernética extensa» que está dirigida a los jugadores en busca de trucos con el robador de robo de Stealc y el malware de robo de criptografía, lo que obtiene a los actores de amenaza de más de $ 135,000. Según Cyberark, la actividad es notable por aprovechar las capacidades del cargador de Stealc para descargar cargas útiles adicionales, en este caso, un robador de criptomonedas que puede desviar los activos digitales de los usuarios en máquinas infectadas.