Etiqueta: Seguridad de la red Página 4 de 7

El troyano bancario de Android conocido como Vultur ha resurgido con un conjunto de nuevas características y técnicas mejoradas de evasión de detección y antianálisis, lo que permite a sus operadores interactuar de forma remota con un dispositivo móvil y recopilar datos confidenciales. «Vultur también ha comenzado a enmascarar más actividad maliciosa cifrando su comunicación C2, utilizando múltiples cargas útiles cifradas que se descifran sobre la marcha y utilizando la apariencia de aplicaciones legítimas para llevar a cabo sus acciones maliciosas», dijo el investigador del Grupo NCC, Joshua Kamp, en un informe publicado la semana pasada. Vultur se reveló por primera vez a principios de 2021 y el malware era capaz de aprovechar las API de servicios de accesibilidad de Android para ejecutar sus acciones maliciosas. Se ha observado que el malware se distribuye a través de aplicaciones de cuentagotas troyanizadas en Google Play Store, haciéndose pasar por aplicaciones de autenticación y productividad para engañar a los usuarios involuntarios para que las instalen. Estas aplicaciones de cuentagotas se ofrecen como parte de una operación de cuentagotas como servicio (DaaS) llamada Brunhilda. Otras cadenas de ataques, como observó NCC Group, implican que los droppers se propaguen mediante una combinación de mensajes SMS y llamadas telefónicas (una técnica llamada entrega de ataques orientados por teléfono (TOAD)) para, en última instancia, ofrecer una versión actualizada del malware. «El primer mensaje SMS guía a la víctima hacia una llamada telefónica», dijo Kamp. Cuando la víctima llama al número, el estafador le proporciona un segundo SMS que incluye el enlace al cuentagotas: una versión modificada del [legitimate] Aplicación McAfee Security». El mensaje SMS inicial tiene como objetivo inducir una falsa sensación de urgencia al indicar a los destinatarios que llamen a un número para autorizar una transacción inexistente que involucra una gran suma de dinero. Tras la instalación, el dropper malicioso ejecuta tres cargas útiles relacionadas (dos APK y un archivo DEX) que registran el bot con el servidor C2, obtienen permisos de servicios de accesibilidad para acceso remoto a través de AlphaVNC y ngrok, y ejecutan comandos obtenidos del servidor C2. Una de las adiciones destacadas a Vultur es la capacidad de acceder de forma remota interactuar con el dispositivo infectado, lo que incluye hacer clic, desplazarse y deslizarse, a través de los servicios de accesibilidad de Android, así como descargar, cargar, eliminar, instalar y buscar archivos. Además, el malware está equipado para evitar que las víctimas interactúen con una lista predefinida de aplicaciones, mostrar notificaciones personalizadas en la barra de estado e incluso desactivar Keyguard para evitar las medidas de seguridad de la pantalla de bloqueo. «Los desarrollos recientes de Vultur han mostrado un cambio en el enfoque hacia maximizar el control remoto sobre los dispositivos infectados», dijo Kamp. «Con la capacidad de emitir comandos para desplazarse, gestos de deslizamiento, clics, control de volumen, bloquear la ejecución de aplicaciones e incluso incorporar funcionalidad de administrador de archivos, está claro que el objetivo principal es obtener un control total sobre los dispositivos comprometidos». El desarrollo se produce cuando Team Cymru reveló la transición del troyano bancario Octo (también conocido como Coper) para Android a una operación de malware como servicio, ofreciendo sus servicios a otros actores de amenazas para realizar robo de información. «El malware ofrece una variedad de características avanzadas, incluyendo registro de teclas, interceptación de mensajes SMS y notificaciones automáticas, y control sobre la pantalla del dispositivo», dijo la compañía. «Emplea varias inyecciones para robar información confidencial, como contraseñas y credenciales de inicio de sesión, mostrando pantallas o superposiciones falsas. Además, utiliza VNC (Virtual Network Computing) para acceso remoto a dispositivos, mejorando sus capacidades de vigilancia». Se estima que las campañas de Octo han comprometido 45.000 dispositivos, principalmente en Portugal, España, Turquía y Estados Unidos. Algunas de las otras víctimas se encuentran en Francia, Países Bajos, Canadá, India y Japón. Los hallazgos también surgen tras la aparición de una nueva campaña dirigida a usuarios de Android en India que distribuye paquetes APK maliciosos que se hacen pasar por servicios de reserva, facturación y mensajería en línea a través de una oferta de malware como servicio (MaaS). El malware «tiene como objetivo el robo de información bancaria, mensajes SMS y otra información confidencial de los dispositivos de las víctimas», dijo Symantec, propiedad de Broadcom, en un boletín. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaSeguridad de red/Seguridad de IoT Se ha observado que una botnet que anteriormente se consideraba inerte esclaviza enrutadores de hogares y oficinas pequeñas (SOHO) y dispositivos de IoT al final de su vida útil (EoL) para alimentar un servicio de proxy criminal llamado Sin rostro. «TheMoon, que surgió en 2014, ha estado funcionando silenciosamente mientras crecía hasta alcanzar más de 40.000 bots de 88 países en enero y febrero de 2024», dijo el equipo de Black Lotus Labs en Lumen Technologies. Faceless, detallado por el periodista de seguridad Brian Krebs en abril de 2023, es un servicio de proxy residencial malicioso que ofrece sus servicios de anonimato a otros actores de amenazas por una tarifa insignificante que cuesta menos de un dólar por día. Al hacerlo, permite a los clientes dirigir su tráfico malicioso a través de decenas de miles de sistemas comprometidos anunciados en el servicio, ocultando efectivamente sus verdaderos orígenes. Se ha evaluado que la infraestructura respaldada por Faceless es utilizada por operadores de malware como SolarMarker e IcedID para conectarse a sus servidores de comando y control (C2) para ofuscar sus direcciones IP. Dicho esto, la mayoría de los bots se utilizan para la pulverización de contraseñas y/o la filtración de datos, principalmente dirigidos al sector financiero, con más del 80% de los hosts infectados ubicados en los EE. UU. Lumen dijo que observó por primera vez la actividad maliciosa a finales de 2023. , el objetivo es violar los enrutadores EoL SOHO y los dispositivos IoT e implementar una versión actualizada de TheMoon y, en última instancia, inscribir la botnet en Faceless. Los ataques implican soltar un cargador que es responsable de obtener un ejecutable ELF desde un servidor C2. Esto incluye un módulo de gusano que se propaga a otros servidores vulnerables y otro archivo llamado «.sox» que se utiliza para enviar el tráfico desde el bot a Internet en nombre de un usuario. Además, el malware configura reglas de iptables para descartar el tráfico TCP entrante en los puertos 8080 y 80 y permitir el tráfico desde tres rangos de IP diferentes. También intenta ponerse en contacto con un servidor NTP de una lista de servidores NTP legítimos en un probable esfuerzo por determinar si el dispositivo infectado tiene conectividad a Internet y no se está ejecutando en una zona de pruebas. El objetivo de fabricar la botnet contra dispositivos EoL no es una coincidencia, ya que ya no cuentan con el soporte del fabricante y se vuelven susceptibles a vulnerabilidades de seguridad con el tiempo. También es posible que los dispositivos sean infiltrados mediante ataques de fuerza bruta. Un análisis adicional de la red proxy ha revelado que más del 30% de las infecciones duraron más de 50 días, mientras que alrededor del 15% de los dispositivos formaron parte de la red durante 48 horas o menos. «Faceless se ha convertido en un formidable servicio proxy que surgió de las cenizas del servicio de anonimato ‘iSocks’ y se ha convertido en una herramienta integral para que los ciberdelincuentes confundan su actividad», dijo la compañía. «TheMoon es el principal, si no el único, proveedor de bots para el servicio de proxy Faceless». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaLinux/Ataque a la cadena de suministro Red Hat lanzó el viernes una «alerta de seguridad urgente» advirtiendo que dos versiones de una popular biblioteca de compresión de datos llamada XZ Utils (anteriormente LZMA Utils) tienen una puerta trasera con código malicioso diseñado para permitir ataques no autorizados. acceso remoto. El compromiso de la cadena de suministro de software, rastreado como CVE-2024-3094, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. Afecta a las versiones 5.6.0 de XZ Utils (lanzada el 24 de febrero) y 5.6.1 (lanzada el 9 de marzo). «A través de una serie de ofuscaciones complejas, el proceso de construcción de liblzma extrae un archivo objeto prediseñado de un archivo de prueba disfrazado existente en el código fuente, que luego se utiliza para modificar funciones específicas en el código de liblzma», dijo la filial de IBM en un aviso. «Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca». Específicamente, el código nefasto incorporado en el código está diseñado para interferir con el proceso del demonio sshd para SSH (Secure Shell) a través del paquete de software systemd, y potencialmente permitir que un actor de amenazas rompa la autenticación sshd y obtenga acceso no autorizado al sistema de forma remota «bajo las circunstancias adecuadas.» Al investigador de seguridad de Microsoft, Andrés Freund, se le atribuye el mérito de descubrir e informar el problema el viernes. Se dice que el código malicioso fuertemente ofuscado fue introducido durante una serie de cuatro confirmaciones en el Proyecto Tukaani en GitHub por un usuario llamado Jia Tan (JiaT75). «Dada la actividad de varias semanas, el responsable de la confirmación está directamente involucrado o hubo algún compromiso bastante grave en su sistema», dijo Freund. «Desafortunadamente, esta última parece la explicación menos probable, dado que se comunicaron en varias listas sobre las ‘correcciones'». Desde entonces, GitHub, propiedad de Microsoft, ha desactivado el repositorio XZ Utils mantenido por el Proyecto Tukaani «debido a una violación de los términos de servicio de GitHub». «. Actualmente no hay informes de explotación activa en la naturaleza. La evidencia muestra que los paquetes solo están presentes en Fedora 41 y Fedora Rawhide, y no afectan a Red Hat Enterprise Linux (RHEL), Debian Stable, Amazon Linux y SUSE Linux Enterprise y Leap. Por precaución, se ha recomendado a los usuarios de Fedora Linux 40 que bajen a una versión 5.4. Algunas de las otras distribuciones de Linux afectadas por el ataque a la cadena de suministro se encuentran a continuación: El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a emitir su propia alerta, instando a los usuarios a degradar XZ Utils a una versión no comprometida (por ejemplo, XZ Utils 5.4.6 Estable). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

30 de marzo de 2024Sala de prensaMalware/Criptomonedas Los anuncios maliciosos y los sitios web falsos actúan como un conducto para distribuir dos programas maliciosos ladrones diferentes, incluido Atomic Stealer, dirigidos a usuarios de Apple macOS. Los continuos ataques de robo de información dirigidos a usuarios de macOS pueden haber adoptado diferentes métodos para comprometer las Mac de las víctimas, pero operan con el objetivo final de robar datos confidenciales, dijo Jamf Threat Labs en un informe publicado el viernes. Una de esas cadenas de ataques se dirige a los usuarios que buscan Arc Browser en motores de búsqueda como Google para publicar anuncios falsos que redirigen a los usuarios a sitios similares («airci[.]net») que sirven al malware. «Curiosamente, no se puede acceder directamente al sitio web malicioso, ya que devuelve un error», dijeron los investigadores de seguridad Jaron Bradley, Ferdous Saljooki y Maggie Zirnhelt. «Sólo se puede acceder a través de un enlace patrocinado generado , presumiblemente para evadir la detección». El archivo de imagen de disco descargado del sitio web falsificado («ArcSetup.dmg») entrega Atomic Stealer, que se sabe que solicita a los usuarios que ingresen sus contraseñas del sistema a través de un mensaje falso y, en última instancia, facilita el robo de información. Jamf dijo También descubrió un sitio web falso llamado Meethub.[.]gg que afirma ofrecer un software gratuito para programar reuniones grupales, pero en realidad instala otro malware ladrón capaz de recopilar datos de llavero de los usuarios, credenciales almacenadas en navegadores web e información de billeteras de criptomonedas. Al igual que Atomic Stealer, el malware, que se dice que se superpone con una familia de ladrones basada en Rust conocida como Realst, también solicita al usuario su contraseña de inicio de sesión de macOS mediante una llamada AppleScript para llevar a cabo sus acciones maliciosas. Se dice que los ataques que aprovechan este malware se acercaron a las víctimas con el pretexto de discutir oportunidades laborales y entrevistarlas para un podcast, pidiéndoles posteriormente que descargaran una aplicación de Meethub.[.]gg para unirse a una videoconferencia proporcionada en las invitaciones a la reunión. «Estos ataques a menudo se centran en aquellos en la industria de la criptografía, ya que tales esfuerzos pueden generar grandes pagos para los atacantes», dijeron los investigadores. «Aquellos en la industria deben ser muy conscientes de que a menudo es fácil encontrar información pública que indique que son poseedores de activos o que pueden vincularse fácilmente a una empresa que los coloca en esta industria». El desarrollo se produce cuando la división de ciberseguridad de MacPaw, Moonlock Lab, reveló que los actores de amenazas están utilizando archivos DMG maliciosos («App_v1.0.4.dmg») para implementar un malware ladrón diseñado para extraer credenciales y datos de varias aplicaciones. Esto se logra mediante un AppleScript ofuscado y una carga útil bash que se recupera de una dirección IP rusa, la primera de las cuales se utiliza para iniciar un mensaje engañoso (como se mencionó anteriormente) para engañar a los usuarios para que proporcionen las contraseñas del sistema. «Disfrazado de un archivo DMG inofensivo, engaña al usuario para que realice la instalación mediante una imagen de phishing, persuadiéndolo a eludir la función de seguridad Gatekeeper de macOS», dijo el investigador de seguridad Mykhailo Hrebeniuk. El desarrollo es una indicación de que los entornos macOS están cada vez más amenazados por ataques de ladrones, y algunas cepas incluso se jactan de técnicas sofisticadas antivirtualización al activar un interruptor de apagado autodestructivo para evadir la detección. En las últimas semanas, también se han observado campañas de publicidad maliciosa que impulsan el cargador FakeBat (también conocido como EugenLoader) y otros ladrones de información como Rhadamanthys a través de un cargador basado en Go a través de sitios señuelo para software popular como Notion y PuTTY. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de prensaIngeniería inversa/seguridad RFID Las vulnerabilidades de seguridad descubiertas en las cerraduras electrónicas RFID Saflok de Dormakaba utilizadas en hoteles podrían ser utilizadas como armas por actores de amenazas para falsificar tarjetas de acceso y entrar sigilosamente en habitaciones cerradas. Las deficiencias han sido denominadas colectivamente Unsaflok por los investigadores Lennert Wouters, Ian Carroll, rqu, BusesCanFly, Sam Curry, sshell y Will Caruana. Se informaron a la empresa con sede en Zurich en septiembre de 2022. «Cuando se combinan, las debilidades identificadas permiten a un atacante desbloquear todas las habitaciones de un hotel utilizando un solo par de tarjetas de acceso falsificadas», dijeron. Se han retenido todos los detalles técnicos sobre las vulnerabilidades, considerando el impacto potencial, y se espera que se hagan públicos en el futuro. Los problemas afectan a más de tres millones de cerraduras de hoteles repartidas en 13.000 propiedades en 131 países. Esto incluye los modelos Saflok MT y los dispositivos de las series Quantum, RT, Saffire y Confidant, que se utilizan en combinación con el software de gestión System 6000, Ambiance y Community. Se estima que Dormakaba ha actualizado o reemplazado el 36% de las cerraduras afectadas en marzo de 2024 como parte de un proceso de implementación que comenzó en noviembre de 2023. Algunas de las cerraduras vulnerables han estado en uso desde 1988. «Un atacante solo necesita leer una tarjeta de acceso de la propiedad para realizar el ataque contra cualquier puerta de la propiedad», dijeron los investigadores. «Esta tarjeta de acceso puede ser de su propia habitación, o incluso una tarjeta de acceso caducada extraída de la caja de recogida de pago exprés». Las tarjetas falsificadas se pueden crear utilizando cualquier tarjeta MIFARE Classic o cualquier herramienta de lectura y escritura RFID disponible comercialmente que sea capaz de escribir datos en estas tarjetas. Alternativamente, se pueden usar Proxmark3, Flipper Zero o incluso un teléfono Android con capacidad NFC en lugar de las tarjetas. En declaraciones a Andy Greenberg de WIRED, los investigadores dijeron que el ataque implica leer un determinado código de esa tarjeta y crear un par de tarjetas de acceso falsificadas utilizando el método antes mencionado: una para reprogramar los datos de la cerradura y otra para abrirla descifrando la función de derivación de claves de Dormakaba. (KDF) sistema de cifrado. «Dos golpes rápidos y abrimos la puerta», dijo Wouters. Otro paso crucial implica aplicar ingeniería inversa a los dispositivos de programación de cerraduras distribuidos por Dormakaba a los hoteles y al software de recepción para administrar las tarjetas de acceso, lo que permitió a los investigadores falsificar una llave maestra que pudiera usarse para abrir cualquier habitación. Actualmente no hay ningún caso confirmado de explotación de estos problemas en la naturaleza, aunque los investigadores no descartan la posibilidad de que otras personas hayan descubierto o utilizado las vulnerabilidades. «Es posible detectar ciertos ataques auditando los registros de entrada/salida de la cerradura», agregaron. «El personal del hotel puede auditar esto a través del dispositivo HH6 y buscar registros de entrada/salida sospechosos. Debido a la vulnerabilidad, los registros de entrada/salida podrían atribuirse a la tarjeta de acceso o al miembro del personal incorrecto». La divulgación se produce tras el descubrimiento de tres vulnerabilidades de seguridad críticas en los dispositivos de registro electrónico (ELD) de uso común en la industria del transporte que podrían utilizarse como armas para permitir el control no autorizado de los sistemas de los vehículos y manipular los datos y las operaciones de los vehículos de forma arbitraria. Aún más preocupante es que una de las fallas podría allanar el camino para la aparición de un gusano que se autopropaga de camión a camión, lo que podría provocar interrupciones generalizadas en las flotas comerciales y provocar graves consecuencias para la seguridad. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

29 de marzo de 2024Sala de redacción Ataque a la cadena de suministro/Inteligencia de amenazas Los mantenedores del repositorio Python Package Index (PyPI) suspendieron brevemente los registros de nuevos usuarios luego de una afluencia de proyectos maliciosos cargados como parte de una campaña de typosquatting. Dijo que «la creación de nuevos proyectos y el registro de nuevos usuarios» se detuvieron temporalmente para mitigar lo que dijo que era una «campaña de carga de malware». El incidente se resolvió 10 horas después, el 28 de marzo de 2024, a las 12:56 pm UTC. La firma de seguridad de la cadena de suministro de software Checkmarx dijo que los actores de amenazas no identificados detrás de la inundación del repositorio apuntaban a los desarrolladores con versiones con errores tipográficos de paquetes populares. «Este es un ataque de múltiples etapas y la carga maliciosa tiene como objetivo robar billeteras criptográficas, datos confidenciales de los navegadores (cookies, datos de extensiones, etc.) y varias credenciales», dijeron los investigadores Yehuda Gelb, Jossef Harush Kadouri y Tzachi Zornstain. «Además, la carga maliciosa empleó un mecanismo de persistencia para sobrevivir a los reinicios». Los hallazgos también fueron corroborados de forma independiente por Mend.io, que señaló que detectó más de 100 paquetes maliciosos dirigidos a bibliotecas de aprendizaje automático (ML) como Pytorch, Matplotlib y Selenium. El desarrollo se produce cuando los repositorios de código abierto se están convirtiendo cada vez más en un vector de ataque para que los actores de amenazas se infiltren en entornos empresariales. Typosquatting es una técnica de ataque bien documentada en la que los adversarios cargan paquetes con nombres que se parecen mucho a sus homólogos legítimos (por ejemplo, Matplotlib frente a Matplotlig o tensorflow frente a tensourflow) para engañar a usuarios desprevenidos para que los descarguen. Se descubrió que estas variantes engañosas, que suman un total de más de 500 paquetes por Check Point, se cargaron desde una cuenta única a partir del 26 de marzo de 2024, lo que sugiere que todo el proceso fue automatizado. «La naturaleza descentralizada de las cargas, con cada paquete atribuido a un usuario diferente, complica los esfuerzos para identificar estas entradas maliciosas», dijo la compañía israelí de ciberseguridad. La firma de ciberseguridad Phylum, que también ha estado rastreando la misma campaña, dijo que los atacantes publicaron: 67 variaciones de requisitos 38 variaciones de Matplotlib 36 variaciones de solicitudes 35 variaciones de colorama 29 variaciones de tensorflow 28 variaciones de selenium 26 variaciones de BeautifulSoup 26 variaciones de PyTorch 20 variaciones de almohada 15 variaciones de asyncio Los paquetes, por su parte, comprueban si el sistema operativo del instalador era Windows y, de ser así, proceden a descargar y ejecutar una carga útil ofuscada recuperada de un dominio controlado por el actor («funcaptcha[.]ru»). El malware funciona como un ladrón, filtrando archivos, tokens de Discord, así como datos de navegadores web y billeteras de criptomonedas al mismo servidor. Además, intenta descargar un script de Python («hvnc.py») al sistema operativo Windows. Carpeta de inicio para la persistencia. El desarrollo ilustra una vez más el creciente riesgo que plantean los ataques a la cadena de suministro de software, por lo que es crucial que los desarrolladores examinen cada componente de terceros para garantizar que proteja contra amenazas potenciales. Esta no es la primera vez que PyPI ha recurrido a En mayo de 2023, deshabilitó temporalmente los registros de usuarios después de descubrir que «el volumen de usuarios maliciosos y proyectos maliciosos creados en el índice durante la semana pasada ha superado nuestra capacidad de responder de manera oportuna». PyPI suspendió los registros de nuevos usuarios por segunda vez el año pasado el 27 de diciembre por razones similares. Posteriormente se levantó el 2 de enero de 2024. ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

28 de marzo de 2024Sala de prensaTecnología/Privacidad de datos En junio de 2017, un estudio de más de 3000 estudiantes del Instituto Tecnológico de Massachusetts (MIT) publicado por la Oficina Nacional de Investigación Económica (NBER) encontró que el 98% de ellos estaban dispuestos a donar las direcciones de correo electrónico de sus amigos a cambio de pizza gratis. «Mientras que las personas dicen que les importa la privacidad, están dispuestas a ceder datos privados con bastante facilidad cuando se les incentiva a hacerlo», dice la investigación, señalando lo que se llama la paradoja de la privacidad. Ahora, casi siete años después, Telegram ha introducido una nueva función que ofrece a algunos usuarios una membresía premium gratuita a cambio de permitir que la popular aplicación de mensajería utilice sus números de teléfono como retransmisión para enviar contraseñas de un solo uso (OTP) a otros usuarios que están intentando iniciar sesión en la plataforma. La función, llamada Peer-to-Peer Login (P2PL), se está probando actualmente en países seleccionados para usuarios de Telegram en Android. Tginfo lo detectó por primera vez en febrero de 2024 (a través de @AssembleDebug). Según los Términos de servicio de Telegram, el número de teléfono se utilizará para enviar no más de 150 mensajes SMS OTP (incluidos SMS internacionales) por mes, lo que generará cargos por parte del operador de telefonía móvil o del proveedor de servicios del usuario. Dicho esto, la popular aplicación de mensajería señala que «no puede evitar que el destinatario de OTP vea su número de teléfono al recibir su SMS» y que «no será responsable de ningún inconveniente, acoso o daño resultante de acciones no deseadas, no autorizadas o ilegales realizadas». por usuarios que tuvieron conocimiento de su número de teléfono a través de P2PL.» Peor aún, el mecanismo, que se basa en gran medida en un sistema de honor, no prohíbe a los usuarios contactar a extraños a cuyo número se envió el SMS de autenticación OTP, y viceversa, lo que podría generar un aumento en las llamadas y mensajes de texto no deseados. Telegram dijo que se reserva el derecho de cancelar unilateralmente una cuenta del programa P2PL si se descubre que los participantes comparten información personal sobre los destinatarios. También advierte a los usuarios que no se comuniquen con ningún destinatario de OTP ni les respondan incluso si les envían mensajes. En marzo de 2024, Telegram tiene más de 900 millones de usuarios activos mensuales. Lanzó el programa de suscripción Premium en junio de 2022, que permite a los usuarios desbloquear funciones adicionales como carga de archivos de 4 GB, descargas más rápidas y pegatinas y reacciones exclusivas. Dado que los servicios en línea todavía dependen de números de teléfono para autenticar a los usuarios, vale la pena tener en cuenta los riesgos de privacidad y seguridad que podrían surgir al participar en el experimento. Meta en la mira legal para interceptar el tráfico de Snapchat El desarrollo se produce cuando documentos judiciales recientemente revelados en los EE. UU. alegan que Meta lanzó un proyecto secreto llamado Ghostbusters para interceptar y descifrar el tráfico de red de personas que usan Snapchat, YouTube y Amazon para ayudarlo a comprender el comportamiento del usuario. y competir mejor con sus rivales. Esto se logró aprovechando aplicaciones personalizadas de un servicio VPN llamado Onavo, que Facebook adquirió en 2013 y cerró en 2019 después de que fuera objeto de escrutinio por usar sus productos para rastrear la actividad web de los usuarios relacionada con sus competidores y pagar en secreto a adolescentes para capturar sus datos. Patrones de navegación en Internet. El esquema de interceptación de datos ha sido descrito como un enfoque de «intermediario», en el que Facebook esencialmente pagaba a personas de entre 13 y 35 años hasta 20 dólares al mes más tarifas de referencia por instalar una aplicación de investigación de mercado y darle un precio elevado. acceso para inspeccionar el tráfico de la red y analizar su uso de Internet. La táctica se basó en la creación de «certificados digitales falsos para hacerse pasar por servidores de análisis confiables de Snapchat, YouTube y Amazon para redirigir y descifrar el tráfico seguro de esas aplicaciones para el análisis estratégico de Facebook». Las aplicaciones se distribuyeron a través de servicios de prueba beta, como Applause, BetaBound y uTest, para ocultar la participación de Facebook. El programa, que luego pasó a conocerse como Panel de acción en la aplicación (IAAP), se ejecutó de 2016 a 2018. Meta, en su respuesta, dijo que no hay delito ni fraude, y que «el propio testigo de Snapchat sobre la publicidad confirmó que Snap no puedo ‘identificar una única venta de anuncios que [it] perdido por el uso de productos de investigación de usuarios por parte de Meta’, no sabe si otros competidores recopilaron información similar y no sabe si alguna de las investigaciones de Meta proporcionó a Meta una ventaja competitiva». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para lee más contenido exclusivo que publicamos.

Source link

27 de marzo de 2024Sala de prensa Inteligencia sobre amenazas/seguridad de red La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad que afecta a Microsoft Sharepoint Server a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa en la naturaleza. La vulnerabilidad, rastreada como CVE-2023-24955 (puntuación CVSS: 7,2), es una falla crítica de ejecución remota de código que permite a un atacante autenticado con privilegios de propietario del sitio ejecutar código arbitrario. «En un ataque basado en red, un atacante autenticado como propietario del sitio podría ejecutar código de forma remota en el servidor SharePoint», dijo Microsoft en un aviso. Microsoft abordó la falla como parte de sus actualizaciones del martes de parches para mayo de 2023. El desarrollo se produce más de dos meses después de que CISA agregara CVE-2023-29357, una falla de escalada de privilegios en SharePoint Server, a su catálogo KEV. Vale la pena señalar que StarLabs SG demostró una cadena de exploits que combina CVE-2023-29357 y CVE-2023-24955 en el concurso de piratería Pwn2Own Vancouver el año pasado, lo que les valió a los investigadores un premio de 100.000 dólares. Dicho esto, actualmente no hay información sobre los ataques que utilizan estas dos vulnerabilidades como armas y los actores de amenazas que pueden estar explotándolas. Microsoft le dijo anteriormente a The Hacker News que «los clientes que han habilitado las actualizaciones automáticas y habilitan la opción ‘Recibir actualizaciones para otros productos de Microsoft’ dentro de su configuración de Windows Update ya están protegidos». Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones antes del 16 de abril de 2024 para proteger sus redes contra amenazas activas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

26 de marzo de 2024Sala de prensaEspionaje industrial/Inteligencia de amenazas Los cazadores de amenazas han identificado un paquete sospechoso en el administrador de paquetes NuGet que probablemente esté diseñado para apuntar a desarrolladores que trabajan con herramientas fabricadas por una empresa china que se especializa en la fabricación de equipos industriales y digitales. El paquete en cuestión es SqzrFramework480, que según ReversingLabs se publicó por primera vez el 24 de enero de 2024. Se ha descargado 2999 veces al momento de escribir este artículo. La firma de seguridad de la cadena de suministro de software dijo que no encontró ningún otro paquete que mostrara un comportamiento similar. Sin embargo, teorizó que la campaña probablemente podría usarse para orquestar espionaje industrial en sistemas equipados con cámaras, visión artificial y brazos robóticos. La indicación de que SqzrFramework480 aparentemente está vinculado a una empresa china llamada Bozhon Precision Industry Technology Co., Ltd. proviene del uso de una versión del logotipo de la empresa para el icono del paquete. Fue subido por una cuenta de usuario de Nuget llamada «zhaoyushun1999». Dentro de la biblioteca hay un archivo DLL «SqzrFramework480.dll» que viene con funciones para tomar capturas de pantalla, hacer ping a una dirección IP remota cada 30 segundos hasta que la operación sea exitosa y transmitir las capturas de pantalla a través de un socket creado y conectado a dicha dirección IP. . «Ninguno de estos comportamientos es decididamente malicioso. Sin embargo, en conjunto, hacen saltar las alarmas», afirmó el investigador de seguridad Petar Kirhmajer. «El ping sirve como una comprobación de los latidos del corazón para ver si el servidor de exfiltración está activo». El uso malicioso de sockets para la comunicación y la exfiltración de datos se ha observado anteriormente, como en el caso del paquete npm nodejs_net_server. El motivo exacto detrás del paquete no está claro todavía, aunque es un hecho conocido que los adversarios recurren constantemente a ocultar código nefasto en software aparentemente benigno para comprometer a las víctimas. Una explicación alternativa e inocua podría ser que el paquete fue filtrado por un desarrollador o un tercero que trabaja con la empresa. «También pueden explicar un comportamiento de captura continua de pantalla aparentemente malicioso: podría ser simplemente una forma para que un desarrollador transmita imágenes desde la cámara en el monitor principal a una estación de trabajo», dijo Kirhmajer. Dejando a un lado la ambigüedad que rodea al paquete, los hallazgos subrayan la naturaleza complicada de las amenazas a la cadena de suministro, lo que hace imperativo que los usuarios examinen las bibliotecas antes de descargarlas. «Los repositorios de código abierto como NuGet albergan cada vez más paquetes sospechosos y maliciosos diseñados para atraer a los desarrolladores y engañarlos para que descarguen e incorporen bibliotecas maliciosas y otros módulos en sus procesos de desarrollo», dijo Kirhmajer. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

25 de marzo de 2024Sala de redacciónAtaque a la cadena de suministro/criptomoneda Adversarios no identificados orquestaron una sofisticada campaña de ataque que afectó a varios desarrolladores individuales, así como a la cuenta de la organización de GitHub asociada con Top.gg, un sitio de descubrimiento de bots de Discord. «Los actores de amenazas utilizaron múltiples TTP en este ataque, incluida la apropiación de cuentas a través de cookies de navegador robadas, la contribución de código malicioso con confirmaciones verificadas, la configuración de un espejo Python personalizado y la publicación de paquetes maliciosos en el registro PyPI», dijo Checkmarx en un informe técnico compartido. con Las noticias de los hackers. Se dice que el ataque a la cadena de suministro de software provocó el robo de información confidencial, incluidas contraseñas, credenciales y otros datos valiosos. Algunos aspectos de la campaña fueron revelados previamente a principios de mes por un desarrollador con sede en Egipto llamado Mohammed Dief. Principalmente implicó la creación de un typosquat inteligente del dominio oficial de PyPI conocido como «files.pythonhosted[.]org», dándole el nombre «files.pypihosted[.]org» y usándolo para alojar versiones troyanizadas de paquetes conocidos como colorama. Desde entonces, Cloudflare eliminó el dominio. «Los actores de amenazas tomaron Colorama (una herramienta muy popular con más de 150 millones de descargas mensuales), lo copiaron e insertaron archivos maliciosos código», dijeron los investigadores de Checkmarx. «Luego ocultaron la carga útil dañina dentro de Colorama usando espacio relleno y alojaron esta versión modificada en su espejo falso de dominio typosquatted». Estos paquetes maliciosos luego se propagaron a través de repositorios de GitHub como github[.]com/maleduque/Valorant-Checker y github[.]com/Fronse/League-of-Legends-Checker que contenía un archivo requisitos.txt, que sirve como lista de paquetes de Python que instalará el administrador de paquetes pip. Un repositorio que continúa activo al momento de escribir este artículo es github.[.]com/whiteblackgang12/Discord-Token-Generator, que incluye una referencia a la versión maliciosa de colorama alojada en «files.pypihosted[.]org.» También se modificó como parte de la campaña el archivo requisitos.txt asociado con python-sdk de Top.gg por una cuenta llamada editor-syntax el 20 de febrero de 2024. El problema ha sido abordado por los mantenedores del repositorio. Vale la pena señalarlo. que la cuenta «editor-syntax» es un mantenedor legítimo de la organización Top.gg GitHub y tiene permisos de escritura para los repositorios de Top.gg, lo que indica que el actor de amenazas logró secuestrar la cuenta verificada para cometer una confirmación maliciosa. La cuenta de GitHub de ‘editor-syntax’ probablemente fue secuestrada mediante cookies robadas», señaló Checkmarx. «El atacante obtuvo acceso a las cookies de sesión de la cuenta, lo que le permitió eludir la autenticación y realizar actividades maliciosas utilizando la interfaz de usuario de GitHub. Este método de apropiación de cuentas es particularmente preocupante, ya que no requiere que el atacante conozca la contraseña de la cuenta». Es más, se dice que los actores de amenazas detrás de la campaña impulsaron múltiples cambios en los repositorios fraudulentos en una sola confirmación, alterándolos según hasta 52 archivos en una instancia en un esfuerzo por ocultar los cambios en el archivo requisitos.txt. El malware incrustado en el paquete colorama falsificado activa una secuencia de infección de varias etapas que conduce a la ejecución de código Python desde un servidor remoto, que , a su vez, es capaz de establecer persistencia en el host a través de cambios en el Registro de Windows y robar datos de navegadores web, billeteras criptográficas, tokens de Discord y tokens de sesiones relacionados con Instagram y Telegram. «El malware incluye un componente de ladrón de archivos que busca archivos con palabras clave específicas en sus nombres o extensiones», dijeron los investigadores. «Se dirige a directorios como Escritorio, Descargas, Documentos y Archivos recientes». Los datos capturados finalmente se transfieren a los atacantes a través de servicios anónimos de intercambio de archivos como GoFile y Anonfiles. . Alternativamente, los datos también se envían a la infraestructura del actor de la amenaza mediante solicitudes HTTP, junto con el identificador de hardware o la dirección IP para rastrear la máquina víctima. «Esta campaña es un excelente ejemplo de las tácticas sofisticadas empleadas por actores maliciosos para distribuir malware a través de plataformas confiables como PyPI y GitHub», concluyó el investigador. «Este incidente resalta la importancia de la vigilancia al instalar paquetes y repositorios incluso de fuentes confiables. Es crucial examinar minuciosamente las dependencias, monitorear actividades sospechosas en la red y mantener prácticas de seguridad sólidas para mitigar el riesgo de ser víctima de tales ataques». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link