Etiqueta: Seguridad informatica Página 1 de 4

Aug 29, 2025 the Hacker Newscloud Security / Generation AI Imagen esto: su equipo lanza un código nuevo, pensando que todo está bien. Pero oculto hay un pequeño defecto que explota en un gran problema una vez que golpea la nube. Lo siguiente que sabe es que los piratas informáticos están y su empresa está lidiando con un desastre que cuesta millones. Aterrador, ¿verdad? En 2025, la violación promedio de datos llega a las empresas con una factura de $ 4.44 millones a nivel mundial. ¿Y adivina qué? Una gran parte de estos dolores de cabeza proviene de los deslizamientos de seguridad de aplicaciones, como los ataques web que enganchan las credenciales y causan estragos. Si estás en Dev, Ops o Security, probablemente has sentido ese estrés, alertas sin restricciones, equipos que discuten sobre quién tiene la culpa y las arreglos que llevan una eternidad. Pero bueno, no tiene que ser así. ¿Qué pasaría si pudiera detectar esos riesgos temprano, desde el momento, el código se escribe hasta cuando se está ejecutando en la nube? Esa es la magia de la visibilidad de código a nube, y está cambiando cómo los equipos inteligentes manejan la seguridad de las aplicaciones. Nuestro próximo seminario web, «Visibilidad de código a nube: The New Foundation for Modern AppSEC», es su oportunidad de aprender cómo. Está sucediendo el 8 de septiembre de 2025, a solo unas semanas de distancia. Esta no es una conferencia aburrida; Es una verdadera charla de expertos que han estado allí, llenos de consejos que puede usar de inmediato. ¡Regístrese para el seminario web ahora y tome su lugar antes de que se vaya! El verdadero dolor de cabeza que se esconde en sus aplicaciones seamos honestos: a medida que las empresas crecen y empujen más trabajo a los equipos de desarrollo, las cosas se desordenan. Los riesgos aparecen en el código, pero solo aparecen más tarde en la nube, lo que lleva a la confusión, las soluciones lentas y los atacantes que reciben el salto sobre ti. Informes recientes muestran que el manejo ineficiente de vulnerabilidad es un dolor superior para el 32% de las organizaciones, y asegurar herramientas de IA como Genai está justo detrás del 30%. Peor aún, el 97% de las empresas están lidiando con problemas de seguridad relacionados con Genai. Sin una vista clara de código a nube, básicamente está adivinando, y eso deja las puertas abiertas para los malos. He conversado con la gente en las trincheras que comparten historias de guerra: las noches tardías luchando contra los agujeros de parche que podrían haberse solucionado días antes. Es drenador, y con las violaciones que cuestan más que nunca, está llegando a la línea de fondo. ¿La buena noticia? La visibilidad de código a nube conecta los puntos, dándole plena vista a vulnerabilidades, secretos y errores de configuración. Ayuda a los equipos a atrapar problemas temprano, solucionarlos rápidamente y a trabajar juntos mejor, sin más señales. Con lo que se alejará: simples pasos para nivelar su seguridad en este chat rápido de 60 minutos, nuestros profesionales desglosarán por qué este enfoque se está convirtiendo en una imprescindible para los programas de seguridad de aplicaciones. Gartner dice que para 2026, el 40% de las compañías se subirán a herramientas como ASPM para manejar los riesgos más inteligentes. Lo mantendremos directo, sin sobrecarga tecnológica, solo cosas prácticas. Esto es lo que obtendrá: obtenga a todos en la misma página: vea cómo la vinculación del código de los riesgos para el comportamiento en la nube crea un plan compartido simple. Los equipos de Dev, Ops y Security finalmente pueden unirse, reducir el ruido y acelerar la retroalimentación. Concéntrese en lo que realmente importa: aprenda formas fáciles de mapear los riesgos y concentrarse en sus aplicaciones clave. Compartiremos ejemplos reales, como rastrear un fallo de código a su punto débil de la nube, para que pueda conectar agujeros antes de que los hackers noten. Arregle las cosas más rápido: tome ideas paso a paso para automatizar las soluciones y el tiempo de remediación de recorte; algunos equipos ven caídas del 30% o más en vulnerabilidades y días afeitados. Imagine agregar esto a su flujo de trabajo sin ralentizar su trabajo. Manténgase por delante de las nuevas amenazas: cubriremos temas calientes como el uso seguro de la IA y las reglas que presionan para una mejor seguridad. Además, una lista de verificación útil para verificar su configuración y victorias rápidas para probar mañana. Las personas que se han unido a sesiones similares dicen que cambiaron cómo funcionan: «Conectó los puntos y nos impidió perseguir sombras», me dijo un tipo de operaciones. ¿Listo para hacer ese cambio para tu equipo? Regístrese para el seminario web ahora y comience a convertir esas ideas en acción. Mira este seminario web ahora ¿Por qué saltar ahora? Las amenazas no esperan con grandes ataques que aparecen en los titulares, como la violación de Powerschool que golpea a millones o ransomware que se meten con las cadenas de suministro en 2025, la retención no es inteligente. La visibilidad de código a nube no es una tecnología elegante; Es su escudo hornear la seguridad de principio a fin. No espere una crisis, avance y haga que sus aplicaciones sean más difíciles. Los asientos van rápidamente, así que regístrese hoy. También obtendrá una lista de verificación ASPM gratuita y la grabación para ver más tarde. Es una inversión pequeña de tiempo para la gran tranquilidad. Regístrese para el seminario web ahora, ¡no puedo esperar a verte allí! ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Aug 29, 2025Ravie Lakshmananmalware / Windows Security Ciberseguity Investigadores han descubierto una campaña de delito cibernético que está utilizando trucos de malvertición para dirigir a las víctimas a sitios fraudulentos para ofrecer un nuevo robador de información llamado TamperedChef. «El objetivo es atraer a las víctimas a la descarga e instalación de un editor de PDF troyanizado, que incluye un malware que roba información tampedChef», dijeron los investigadores de Truesec Mattias Wåhlén, Nicklas Keijser y Oscar Lejerbäck Wolf publicado en un informe publicado el miércoles. «El malware está diseñado para cosechar datos confidenciales, incluidas credenciales y cookies web». En el corazón de la campaña se encuentra el uso de varios sitios falsos para promover un instalador para un editor PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y lanzado, muestra al usuario un aviso para aceptar los términos de servicio y la política de privacidad del software. En segundo plano, sin embargo, el programa de configuración hace solicitudes encubiertas a un servidor externo para soltar el programa del editor PDF, al tiempo que configura la persistencia en el host realizando cambios en el registro de Windows para garantizar que el ejecutable descargado se inicie automáticamente después de un reinicio. La clave de registro contiene un parámetro de argumentos -cm para aprobar instrucciones al binario. La compañía de seguridad cibernética alemana G Data, que también analizó la actividad, dijo que los diversos sitios web que ofrecen estos editores de PDF descargan el mismo instalador de configuración, que luego descarga el programa PDF Editor desde el servidor una vez que el usuario acepta el acuerdo de licencia. «Luego ejecuta la aplicación principal sin argumentos, que es equivalente a comenzar la rutina de instalación», dijeron los investigadores de seguridad Karsten Hahn y Louis Sorita. «También crea una entrada automática que suministra el argumento de la línea de comando –cm =-FullUpdate para la próxima ejecución de la aplicación maliciosa». Se evalúa que la campaña comenzó el 26 de junio de 2025, cuando muchos de los sitios falsificados estaban registrados o comenzaron a anunciar el software de edición de PDF a través de al menos cinco campañas de publicidad de Google diferentes. «Al principio, el PDF parece haberse comportado principalmente inofensivo, pero el código incluía instrucciones para verificar regularmente las posibles actualizaciones en un archivo .js que incluye los argumentos -cm», explicaron los investigadores. «A partir del 21 de agosto de 2025, las máquinas que volvieron a llamar recibieron instrucciones que activaron las capacidades maliciosas, un robador de información, denominado ‘TamperedChef’.» Una vez inicializado, el robador recopila una lista de productos de seguridad instalados e intentos para terminar los navegadores web para acceder a datos sensibles, como las credenciales y las cookies. Un análisis posterior de la aplicación con malware por datos G ha revelado que actúa como una puerta trasera, lo que respalda una serie de características-INSTALME, para crear tareas programadas llamadas PDFEDITITORSCheduledTask y PDFEditorScheduledTask que ejecuta la aplicación con-cm =-parcialmente y-cm =-argumentos de copia –CleanUp, que el Uninstaler llama para eliminar los archivos de puerta trasera, no registrar la máquina del servidor y eliminar las dos tareas programadas-Ping, iniciar las comunicaciones con un comando y control (C2) para que las acciones se ejecuten en el Sistema, que, entre otros, permiten la descarga adicional de malware, el exfiltration de datos y los cambios en el registro-CHECK, COLACE C2 CON COMACTAR EL SERVITOR C2 CON CONTACTURA, CON CONTACUARIO, CONFIGURAR DE SERVICIO, BREVES DE REDIVIDADES, BROBA DE REDIVIDADES, CON LE REDIVO DE LEDE CABLE. browser settings, and execute arbitrary commands to query, exfiltrate, and manipulate data associated with Chromium, OneLaunch, and Wave browsers, including credentials, browser history, cookies, or setting custom search engines –reboot, same as –check along with capabilities to kill specific processes «The length from the start of the [ad] Campaña hasta que la actualización maliciosa también fue de 56 días, que está cerca de la duración de los 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenaza deja que la campaña publicitaria ejecute su curso, maximizando las descargas, antes de activar las características maliciosas «, dijo Truesec. ONESTART, y editor de PDF.

Aug 28, 2025Ravie Lakshmananmalware / Ransomware Ciberseguity Investigadores han descubierto una escapatoria en el mercado de códigos de Visual Studio que permite a los actores de amenaza reutilizar nombres de extensiones previamente eliminadas. El equipo de seguridad de la cadena de suministro de software, ReversingLabs, dijo que hizo el descubrimiento después de identificar una extensión maliciosa llamada «Ahbanc.shiba» que funcionó de manera similar a otras dos extensiones: Ahban.shiba y Ahban.Cychelloworld, que fueron marcadas a principios de marzo. Las tres bibliotecas están diseñadas para actuar como descargador para recuperar una carga útil de PowerShell de un servidor externo que cifra los archivos en una carpeta llamada «TestShiba» en el escritorio de Windows de la víctima y exige un token Shiba inu depositando los activos a una billetera no especificada. Estos esfuerzos sugieren intentos de desarrollo continuos por parte del actor de amenazas. La compañía dijo que decidió profundizar debido al hecho de que el nombre de la nueva extensión («Ahbanc.shiba») era prácticamente el mismo que uno de los otros dos identificados previamente («Ahban.shiba»). Vale la pena señalar que cada extensión tiene que tener una identificación única que sea una combinación del nombre del editor y el nombre de la extensión (es decir, .). En el caso investigado por ReversingLabs, ambas extensiones se diferencian solo por el nombre del editor, mientras que el nombre real de la extensión sigue siendo el mismo. Sin embargo, según la documentación del código de Visual Studio, el El campo especificado en el manifiesto de extensión «debe ser todo minúscula sin espacios» y «debe ser exclusivo del mercado». «Entonces, ¿cómo terminaron las extensiones ahban.shiba y ahbanc.shiba teniendo el mismo nombre a pesar de las reglas de publicación de la documentación oficial?», Preguntó la investigadora de seguridad Lucija Valentić, quien finalmente descubrió que es posible hacerlo una vez que la extensión se elimina del repositorio. Pero este comportamiento no se aplica a los escenarios en los que un autor no publica una extensión. Vale la pena señalar que la capacidad de reutilizar el nombre de las bibliotecas eliminadas también se aplica al repositorio del índice de paquetes de Python (PYPI), como lo demuestra ReversingLabs a principios de 2023. En el momento, se encontró que eliminar un paquete un paquete pondría su nombre «disponible para cualquier otro usuario de PYPI» en el lugar donde la archivos de distribución (una combinación de combinación del nombre del proyecto, el número de versiones y el número y la distribución de su tipo, el Tipo de la distribución, el Tipo de la Distribución, el Tipo de la Distribución, en el tiempo que los Nombre de la Distribución (una combinación de la Combinación del Nombre del Proyecto, y el Tipo de Distribución, y el Tipo de distribución, sean diferentes de los Tipos de la Distribución. Distribución ahora recuperada. Sin embargo, Pypi esconde una excepción donde los nombres de los paquetes PYPI pueden no estar disponibles si fueron utilizados por primera vez por paquetes maliciosos. Parece que Visual Studio Code no tiene una restricción similar para evitar la reutilización de nombres de extensiones maliciosas. El desarrollo, como se observó en registros de chat Black Basta filtrados, muestra cómo los actores de amenaza buscan envenenar registros de código abierto con bibliotecas de ransomware que exigen rescates de víctimas desprevenidas que puedan instalarlos. Esto hace que sea aún más crucial para las organizaciones y desarrolladores adoptar prácticas seguras de desarrollo y monitorear de manera proactiva estos ecosistemas para las amenazas de la cadena de suministro de software. «El descubrimiento de esta laguna expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizada y por cualquiera», dijo Valentić. «Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre está en juego». Los resultados también siguen la identificación de ocho paquetes de NPM maliciosos que se han encontrado que entregan un robo de información sobre el navegador de Google Chrome, dirigido a sistemas de Windows que es capaz de transmitir contraseñas, tarjetas de crédito, datos de billetera de criptomonedas y cookies de usuario a un ferrocarril[.]URL de la aplicación o un webhook de discordia como un mecanismo de respaldo. Los paquetes, publicados por los usuarios llamados RUER y NPJUN, se enumeran a continuación-ToolkDVV (Versiones 1.1.0, 1.0.0) react-sxt (versión 2.4.1) react-typex (versión 0.1.0) react-typexs (versión 0.1.0) react-sdk-solana (versión 2.4.1) react-nativo-nativo (versión 2.4.1)) revshearsshare-solana (vershare-share-sharshare-sharshare-shar 2.4.1) Revshare-SDK-APII (Versión 2.4.1) Lo notable de estos paquetes es el uso de 70 capas de código ofuscado para desempacar una carga útil de Python que está diseñada para facilitar el robo de datos y la exfiltración. «Los repositorios de software de código abierto se han convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques de la cadena de suministro, con ondas en crecimiento utilizando un tipo de escritura y disfrazamiento, fingiendo ser legítimo», dijo el investigador de seguridad de JFrog, Guy Korolevski. «El impacto de las sofisticadas campañas de múltiples capas diseñadas para evadir la seguridad tradicional y robar datos confidenciales resalta la importancia de tener visibilidad en toda la cadena de suministro de software con un escaneo riguroso automatizado y una sola fuente de verdad para todos los componentes de software».

AUG 28, 2025RAVIE LAKSHHANARTIFIFICAL / MALware El Departamento de Control de Activos Extranjeros (OFAC) de los Estados Unidos anunció una nueva ronda de sanciones contra dos individuos y dos entidades para su papel en los programas de tecnología de la información remota de Corea del Norte (TI) para generar los ingresos ilícitos para las armas del régimen de destrucción de masas y los programas de misiles de masas. «El régimen de Corea del Norte continúa dirigiéndose a las empresas estadounidenses a través de esquemas de fraude que involucran a sus trabajadores de TI en el extranjero, que roban datos y demandan el rescate», dijo bajo el Secretario del Tesoro de Tesorismo e Inteligencia Financiera John K. Hurley. «Bajo el presidente Trump, el Tesoro está comprometido a proteger a los estadounidenses de estos esquemas y responsabilizar a los culpables». Los jugadores clave objetivo incluyen Vitaliy Sergeyevich Andreyev, Kim Ung Sun, Shenyang Geumpungri Network Technology Co., Ltd y Corea Sinjin Trading Corporation. El último esfuerzo expande el alcance de las sanciones impuestas contra la compañía de cooperación de tecnología de la información de Chinyong en mayo de 2023. Chinyong, según la firma de gestión de riesgos interna DTEX, es una de las muchas compañías de TI que han desplegado trabajadores de TI para participar en trabajos de TI independientes y robo de criptomiosos. Tiene oficinas en China, Laos y Rusia. La amenaza de los trabajadores de TI, también rastreada como famosa Chollima, Jasper Sleet, UNC5267 y Wagemole, se evalúa que está afiliado al Partido de los Trabajadores de Corea. En esencia, el esquema funciona integrando a los trabajadores de TI de Corea del Norte en empresas legítimas en los Estados Unidos y en otros lugares, asegurando estos trabajos utilizando documentos fraudulentos, identidades robadas y falsas personajes en Github, Codesandbox, Freelancer, Medium, RemoteHub, Crowdworks y Workspace.ru. Los casos seleccionados también han involucrado a los actores de amenaza que introducen clandestinamente el malware en las redes de la empresa para exfiltrar datos patentados y confidenciales, y extorsionarlos a cambio de no filtrar la información. En un informe publicado el miércoles, Anthrope reveló cómo la operación de fraude laboral se ha apoyado en gran medida en las herramientas de inteligencia artificial (IA) como Claude para crear antecedentes profesionales convincentes y carteras técnicas, adaptar reanudaciones a descripciones de trabajo específicas e incluso entregar trabajos técnicos reales. «El hallazgo más sorprendente es la dependencia completa de los actores de la IA para funcionar en roles técnicos», dijo Anthrope. «Estos operadores no parecen ser capaces de escribir código, depurar problemas o incluso comunicarse profesionalmente sin la ayuda de Claude. Sin embargo, mantienen con éxito empleo en las compañías Fortune 500 (según informes públicos), aprobando entrevistas técnicas y entregando trabajos que satisfacen a sus empleadores». The Treasury Department said Andreyev, a 44-year-old Russian national, has facilitated payments to Chinyong and has worked with Kim Ung Sun, a North Korean economic and trade consular official based in Russia, to conduct multiple financial transfers worth nearly $600,000 by converting cryptocurrency to cash in US dollars since December 2024. Shenyang Geumpungri, the department added, is a Chinese front company for Chinyong that consists of a Delegación de trabajadores de TI de la RPDC, generando más de $ 1 millón en ganancias para Chinyong y Sinjin desde 2021. «Sinjin es una RPDK [Democratic People’s Republic of Korea] Compañía subordinada a la Oficina Política General de las Fuerzas Armadas de las Fuerzas Armadas del Ministerio de la República de RPDIS sancionado por los Estados Unidos, «dijo el Tesoro.» La compañía ha recibido directivas de los funcionarios del gobierno de la RPDC sobre el DPRK de TI de TI que Chinyong despliega internacionalmente «. El anuncio se produce poco más de un mes después del departamento de tesorería de Tesoro sanciones de un tesorista del norte (Corea SoBaeksu Company) y tres asociados asociados) y tres a los que se asocian a un mes de departamento de tesorería (Jo Kyong (Jo Kyong (Jo Kyong, (Jo Kyong, (Jo Kyong, (Jo Kyong, y tres, el departamento de Jo Kyong (Jo Kyong (Jo Kyge, (Jo Kyong, (Jo Kyong, y tres. Hun y Myong Chol Min) por su participación en el esquema de trabajadores de TI. LLC, Fortuna LLC, Corea Songkwang Trading General Corporation y Corea Saenal Trading Corporation) por su participación en el esquema de evasión de sanciones.

Se ha observado que el actor de amenaza de motivación financiera conocido como Storm-0501 refina sus tácticas para realizar la exfiltración de datos y los ataques de extorsión dirigidos a los entornos de la nube. «A diferencia del ransomware tradicional local, donde el actor de amenaza generalmente despliega malware para cifrar archivos críticos en los puntos finales dentro de la red comprometida y luego negocia una clave de descifrado, el ransomware basado en la nube presenta un cambio fundamental», dijo el equipo de inteligencia de amenazas de Microsoft en un informe compartido con The Hacker News. «Aprovechar las capacidades nativas de la nube, Storm-0501 exfiltra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad dentro del entorno de víctimas y exige el rescate, todo sin depender de la implementación tradicional de malware». Microsoft documentó por primera vez Storm-0501 hace casi un año, detallando sus ataques híbridos de ransomware en la nube dirigidos al gobierno, la fabricación, el transporte y los sectores de aplicación de la ley en los Estados Unidos, con los actores de amenaza que giran desde locales hasta la nube para la exfiltración de datos posterior, el robo de credenciales y el despliegue de la reducción de la red. Evaluado como activo desde 2021, el grupo de piratería se ha convertido en un afiliado de ransomware como servicio (RAAS) que ofrece varias cargas útiles de ransomware a lo largo de los años, como Sabbath, Hive, Blackcat (AlphV), Hunters International, Lockbit y Embargo. «Storm-0501 ha seguido demostrando competencia en el movimiento entre los entornos locales y en la nube, ejemplificando cómo los actores de amenaza se adaptan a medida que crece la adopción de nubes híbridas», dijo la compañía. «Castan dispositivos no administrados y brechas de seguridad en entornos de nubes híbridos para evadir la detección y aumentar los privilegios de la nube y, en algunos casos, atravesar a los inquilinos en configuraciones de múltiples inquilinos para lograr sus objetivos». Los motos de ataque típicos involucran al actor de amenaza que abusa de su acceso inicial para lograr la escalada de privilegios a un administrador de dominio, seguido de un movimiento lateral en las instalaciones y pasos de reconocimiento que permiten a los atacantes violar el entorno de la nube del objetivo, iniciando así una secuencia de la etapa múltiple que involucra persistencia, persistencia de privilegio, exfiltración de datos, encriones y extinción y extinción. El acceso inicial, por Microsoft, se logra a través de intrusiones facilitadas por corredores de acceso como Storm-0249 y Storm-0900, aprovechando las credenciales robadas y comprometidas para iniciar sesión en el sistema de destino, o explotar varias vulnerabilidades de ejecución de código remoto conocido en servidores sin marcar públicos. En una campaña reciente dirigida a una gran empresa sin nombre con múltiples subsidiarias, se dice que Storm-0501 realizó un reconocimiento antes de moverse lateralmente a través de la red utilizando Evil-WinRM. Los atacantes también llevaron a cabo lo que se llama un ataque DCSYNC para extraer credenciales de Active Directory simulando el comportamiento de un controlador de dominio. «Aprovechando su punto de apoyo en el entorno de Active Directory, atravesaron entre los dominios de Active Directory y finalmente se movieron lateralmente para comprometer un segundo servidor de Connect ENTRA asociado con un inquilino ID diferente y el dominio de Active Directory», dijo Microsoft. «El actor de amenaza extrajo la cuenta de sincronización del directorio para repetir el proceso de reconocimiento, esta vez dirigiendo identidades y recursos en el segundo inquilino». Estos esfuerzos finalmente permitieron a STORM-0501 identificar una identidad sincronizada no humana con un papel de administración global en Microsoft Entra ID en ese inquilino, y careciendo de protecciones de autenticación multifactor (MFA). Posteriormente, esto abrió la puerta a un escenario en el que los atacantes restablecen la contraseña loca del usuario, lo que hace que se sincronice con la identidad en la nube de ese usuario utilizando el servicio de sincronización Entra Connect. Armados con la cuenta de administración global comprometida, se ha encontrado que los intrusos digitales acceden al portal de Azure, registrando a un inquilino de ID de Entra de amenazas como un dominio federado de confianza para crear una puerta trasera, y luego elevar su acceso a recursos de Azure críticos, antes de preparar el escenario para la exfiltración de datos y la extorsión. «Después de completar la fase de exfiltración, Storm-0501 inició la eliminación masiva de los recursos de Azure que contienen los datos de la organización de víctimas, evitando que la víctima tome acciones de remediación y mitigación restaurando los datos», dijo Microsoft. «Después de exfiltrar y destruir con éxito los datos dentro del entorno de Azure, el actor de amenaza inició la fase de extorsión, donde contactaron a las víctimas usando equipos de Microsoft utilizando uno de los usuarios previamente comprometidos, exigiendo un rescate». La compañía dijo que ha promulgado un cambio en Microsoft Entra ID que evita que los actores de amenaza abusen de las cuentas de sincronización de directorio para aumentar los privilegios. También ha publicado actualizaciones a Microsoft Entra Connect (versión 2.5.3.0) para admitir la autenticación moderna para permitir a los clientes configurar la autenticación basada en aplicaciones para una seguridad mejorada. «También es importante habilitar el módulo de plataforma confiable (TPM) en el servidor de sincronización Entra Connect para almacenar de forma segura credenciales confidenciales y claves criptográficas, mitigando las técnicas de extracción de credenciales de Storm-0501», agregó el gigante tecnológico.

Un grupo de actividades de amenaza conocido como Shadowsilk se ha atribuido a un nuevo conjunto de ataques dirigidos a entidades gubernamentales dentro de Asia Central y Asia-Pacífico (APAC). Según el grupo-IB, se han identificado casi tres docenas de víctimas, con las intrusiones principalmente orientadas a la exfiltración de datos. El grupo de piratería comparte el conjunto de herramientas y las superposiciones de infraestructura con campañas realizadas por los actores de amenaza denominados Yorotrooper, Sturgeonphisher y Silent Lynx. Las víctimas de las campañas del grupo abarcan Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán, la mayoría de las cuales son organizaciones gubernamentales y, en menor medida, entidades en los sectores de energía, fabricación, venta minorista y transporte. «La operación es realizada por una tripulación bilingüe: desarrolladores de habla rusa vinculada al código de Yorotrooper heredado y a los operadores de habla china que encabezan intrusiones, lo que resulta en un perfil de amenaza multirregional ágil y ágil», dijeron los investigadores Nikita Rostovcev y Sergei Turner. «La profundidad exacta y la naturaleza de la cooperación de estos dos subgrupos siguen siendo inciertos». Yorotrooper fue documentado públicamente por primera vez por Cisco Talos en marzo de 2023, detallando sus ataques dirigidos al gobierno, la energía y las organizaciones internacionales en toda Europa desde al menos junio de 2022. Se cree que el grupo está activo hasta 2021, según ESET. Un análisis posterior más tarde ese año reveló que el grupo de piratería probablemente consiste en individuos de Kazajstán en función de su fluidez en Kazajustes y Rusios, así como lo que parecía ser esfuerzos deliberados para evitar las entidades dirigidas en el país. Luego, a principios de enero, los laboratorios de Seqrite descubrieron ataques cibernéticos orquestados por un adversario llamado Lynx silencioso que destacó varias organizaciones en Kirguistán y Turkmenistán. También caracterizó al actor de amenaza como superpuestas con Yorotrooper. Shadowsilk representa la última evolución del actor de amenazas, aprovechando los correos electrónicos de phishing de lanza como el vector de acceso inicial para eliminar los archivos protegidos con contraseña para soltar un cargador personalizado que oculta el tráfico de comando y control (C2) detrás de los bots de telegrama para evadir la detección y entregar cargas útiles adicionales. La persistencia se logra modificando el registro de Windows para ejecutarlos automáticamente después de un reinicio del sistema. The threat actor also employs public exploits for Drupal (CVE-2018-7600 and CVE-2018-76020 and the WP-Automatic WordPress plugin (CVE-2024-27956), alongside leveraging a diverse toolkit comprising reconnaissance and penetration-testing tools such as FOFA, Fscan, Gobuster, Dirsearch, Metasploit, and Además. [like ANTSWORD, Behinder, Godzilla, and FinalShell]Las herramientas posteriores a la explotación basadas en agudas y las utilidades de túnel como el resalto y el cincel para moverse lateralmente, aumentar los privilegios y los datos de sifón «, dijeron los investigadores. Se han observado que los ataques pavimentan el camino para que una actividad de acceso remoto basado en Python (rata) pueda recibir comandos y exfiltrados datos a un telegrama, que permiten que el tráfico malicioso a la maliciosa tráfico a la maliciosa de tráfico a la maliciosa de seres se desguee. Los módulos de Cobalt Strike y MetaSploit se utilizan para obtener capturas de pantalla y imágenes de la cámara web, mientras que un script de PowerShell personalizado para los archivos que coinciden con una lista predefinida de extensiones y las copia en un archivo zip, que luego se transmite a un servidor externo de un servidor externo y se ha asaltado el acceso inicial. De las capturas de pantalla que capturan una de las estaciones de trabajo de los atacantes, con imágenes del diseño de teclado activo, la traducción automática de los sitios web del gobierno de Kirguistán en los chinos, y un escáner de vulnerabilidad de idioma chino, indica la participación de un operador de habla china, el comportamiento reciente indica que el grupo es activo, con los nuevos víctimas identificados recientemente como julio «. Asia y la región APAC más amplia, subrayando la importancia de monitorear su infraestructura para evitar el compromiso a largo plazo y la exfiltración de datos «.

Aug 26, 2025Ravie Lakshmananvulnerabilidad / Seguridad móvil Un equipo de académicos ha ideado un nuevo ataque que puede usarse para rebajar una conexión 5G con una generación más baja sin confiar en una estación base deshonesta (GNB). El ataque, según el grupo de investigación de activos (seguridad de sistemas automatizados) en la Universidad de Tecnología y Diseño de Singapur (SUTD), se basa en un nuevo kit de herramientas de software de código abierto llamado SNI5GECT (abreviatura de «Sniffing 5G Inyect») que está diseñado para rastrear los mensajes no encriptados entre la estación base y el equipo de usuario (UE, IE, un teléfono) e inyectado a los mensajes de los objetivos a los mensajes del objetivo. El marco se puede usar para llevar a cabo ataques como bloquear el módem UE, degradarse a generaciones anteriores de redes, huellas dactilares o bypass de autenticación, según Shijie Luo, Matheus Garbelini, Sudipta Chattopadhyay y Jianyyying Zhou. «A diferencia del uso de una estación base deshonesta, que limita la practicidad de muchos ataques 5G, Sni5gect actúa como un tercero en la comunicación, olfate los mensajes y rastrea el estado del protocolo mediante la decodificación de los mensajes olfatados durante el procedimiento de conexión de UE», dijeron los investigadores. «La información del estado se usa para inyectar una carga útil de ataque dirigida en la comunicación del enlace descendente». Los hallazgos se basan en un estudio previo de Asset a fines de 2023 que condujo al descubrimiento de 14 defectos en la implementación de firmware de módems de red móviles 5G de MediaTek y Qualcomm, denominado colectivamente 5Ghoul, que podría explotarse para lanzar ataques a soltar conexiones, congelar la conexión que involucra un reinicio manual o rechazar la conectividad 5G a 4G. Los ataques SNI5GECT están diseñados para olfatear pasivamente los mensajes durante el proceso de conexión inicial, decodificar el contenido del mensaje en tiempo real y luego aprovechar el contenido del mensaje decodificado para inyectar cargas útiles de ataque dirigido. Específicamente, los ataques están diseñados para aprovechar la fase antes del procedimiento de autenticación, momento en el que los mensajes intercambiados entre el GNB y el UE no están encriptados. Como resultado, el modelo de amenaza no requiere conocimiento de las credenciales del UE para oler el tráfico de enlace ascendente/enlace descendente o inyectar mensajes. «Hasta donde sabemos, Sni5gect es el primer marco que permite a los investigadores con capacidades de inyección exagerada y de inyección con el aire, sin requerir un GNB rebelde», dijeron los investigadores. «Por ejemplo, un atacante puede explotar la ventana de comunicación de UE corta que abarca el proceso de RACH hasta que se establece el contexto de seguridad del NAS. Tal atacante escucha activamente cualquier mensaje RAR del GNB, que proporciona el RNTI para decodificar más mensajes de UE». Esto permite que el actor de amenaza bloquee el módem en el dispositivo de la víctima, haga huellas digitales del dispositivo objetivo e incluso degrada la conexión a 4G, que tiene vulnerabilidades conocidas que el atacante puede explotar para rastrear la ubicación de UE con el tiempo. En las pruebas contra cinco teléfonos inteligentes, incluidos OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 y Huawei P40 Pro, el estudio alcanzó el 80% de precisión en un enlace ascendente y olfateo de enlace descendente, y logró inyectar mensajes con una tasa de éxito de 70-90% desde una distancia de hasta 20 metros (65 pies). El Sistema Global para la Asociación de Comunicaciones Móviles (GSMA), una asociación comercial sin fines de lucro que representa a los operadores de redes móviles en todo el mundo y desarrolla nuevas tecnologías, ha reconocido el ataque de baja etapa, de baja en la etapa y le ha asignado el identificador CVD-2024-0096. «Argumentamos que SNI5GECT es una herramienta fundamental en la investigación de seguridad 5G que permite no solo la explotación 5G sobre el aire, sino también avanzar en la investigación futura sobre la detección y mitigación de la intrusión 5G a nivel de paquetes, mejoras de seguridad a la seguridad de la capa física 5G y más allá», concluyeron los investigadores.

Aug 26, 2025Ravie Lakshmananvulnerabilidad / ejecución de código remoto Citrix ha lanzado soluciones para abordar tres fallas de seguridad en Netscaler ADC y Netscaler Gateway, incluida una que dijo que ha sido explotada activamente en la naturaleza. Las vulnerabilidades en cuestión se enumeran a continuación: CVE-2025-7775 (puntaje CVSS: 9.2)-Vulnerabilidad de desbordamiento de memoria que conduce a la ejecución de código remoto y/o la negación de servicio de servicio CVE-2025-7776 (puntaje CVSS: 8.8)-Vulnerabilidad de Overfloque de memoria de memoria que conduce a un comportamiento impredecible o erróneo y un comportamiento erróneo de servicio CVE-2025-2025- (Puntuación CVSS: 8.7)-Control de acceso inadecuado en la interfaz de gestión NetScaler La compañía reconoció que «se han observado los exploits de CVE-2025-7775 en electrodomésticos no mitigados», pero se han detenido a los detalles adicionales. Sin embargo, para que los fallas se exploten, hay una serie de requisitos previos: CVE -2025-7775 – NetScaler debe configurarse como puerta de enlace (VPN Virtual Server, ICA Proxy, CVPN, RDP Proxy) o AAA Virtual Server; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-Fips y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios IPv6 o grupos de servicio vinculados con servidores IPV6; NetScaler ADC y NetScaler Gateway 13.1, 14.1, 13.1-FIPS y NDCPP: servidores virtuales LB de tipo (HTTP, SSL o HTTP_QUIC) vinculados con servicios DBS IPv6 o grupos de servicio vinculados con servidores IPv6 DBS; o el servidor virtual CR con tipo HDX CVE-2025-7776-NetScaler debe configurarse como GATEWAY (VPN Virtual Server, ICA proxy, CVPN, RDP proxy) con perfil PCOIP limitado a IT CVE-2025-8424-Acceso a NSIP, CLUST Management IP o Sitio GSLB Local IP o Snip con los problemas de gestión Los problemas se han resuelto en los problemas. available workarounds – NetScaler ADC and NetScaler Gateway 14.1-47.48 and later releases NetScaler ADC and NetScaler Gateway 13.1-59.22 and later releases of 13.1 NetScaler ADC 13.1-FIPS and 13.1-NDcPP 13.1-37.241 and later releases of 13.1-FIPS and 13.1-NDcPP NetScaler ADC 12.1-FIPS y 12.1-NDCPP 12.1-55.330 y luego lanzamientos de 12.1-FIPS y 12.1-NDCPP Citrix acreditaron a Jimi Sebree de Horizon3.ai, Jonathan Hetzer de Schramm & Partnerfor y François Hämmerli por descubrir e informar las vulnerabilidades. CVE-2025-7775 es la última vulnerabilidad de Netscaler ADC y Gateway para ser armado en ataques del mundo real en un corto período de tiempo, después de CVE-2025-5777 (también conocido como Bleed Citrix 2) y CVE-2025-6543. La divulgación también se produce un día después de que la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó dos defectos de seguridad que afectan la grabación de la sesión de la sesión de Citrix (CVE-2024-8068 y CVE-2024-8069) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en la evidencia de la explotación activa.

Aug 26, 2025Ravie Lakshmanananmobile Seguridad / Privacidad de datos Google ha anunciado planes para comenzar a verificar la identidad de todos los desarrolladores que distribuyen aplicaciones en Android, incluso para aquellos que distribuyen su software fuera de Play Store. «Android requerirá que todas las aplicaciones sean registradas por desarrolladores verificados para que los usuarios instalen en dispositivos Android certificados», dijo la compañía. «Esto crea una responsabilidad crucial, lo que hace que sea mucho más difícil para los actores maliciosos distribuir rápidamente otra aplicación dañina después de que tomemos la primera». Con ese fin, el gigante tecnológico dijo que tiene la intención de comenzar a enviar invitaciones a partir de octubre de 2025, antes de abrirlo a todos los desarrolladores en marzo de 2026. Se espera que los nuevos requisitos entren en vigencia a partir de ahora, en septiembre de 2026, en Brasil, Indonesia, Singapur y Tailandia. «En este punto, cualquier aplicación instalada en un dispositivo Android certificado en estas regiones debe estar registrada por un desarrollador verificado», agregó Suzanne Frey, vicepresidenta de productos, confianza y crecimiento de Android. Vale la pena señalar que no cambiará mucho para los desarrolladores que distribuyan aplicaciones a través de Google Play Store, ya que es probable que ya hayan cumplido estos requisitos de verificación a través del proceso de consola de juego existente. Se está trabajando en un tipo separado de cuenta de la consola de desarrollador de Android para los desarrolladores de estudiantes y aficionados. Google dijo que los cambios están diseñados para evitar que los actores maliciosos se supliquen a los desarrolladores y usen su marca y reputación para crear aplicaciones falsas convincentes. Compuesto el problema es la presencia de tales aplicaciones maliciosas que se distribuyen a través de mercados de aplicaciones de terceros desde donde los usuarios pueden evitarlas. El mandato de verificación del desarrollador se suma a las medidas de seguridad ya existentes que bloquean la respuesta lateral de aplicaciones potencialmente peligrosas en mercados como Singapur, Tailandia, Brasil e India. En julio de 2023, la compañía también comenzó a requerir que todas las cuentas de desarrolladores se registren como organización como organización para proporcionar un número de DUNS válido asignado por Dun & Bradstreet antes de enviar aplicaciones en un esfuerzo por generar fideicomiso de usuarios. La «nueva capa de seguridad», señaló Google, tiene como objetivo proteger a los usuarios de los malos actores repetidos que difunden malware y estafas, así como para proporcionar una «línea de base de sentido común y de sentido común de la responsabilidad del desarrollador» en Android. También dijo que el sistema conserva la elección del usuario al tiempo que mejora la seguridad para todos. Si bien las reglas de distribución de aplicaciones de Android están destinadas a ajustar la seguridad del ecosistema, también llegan en un momento en que Google está potencialmente mirando reformas importantes a la tienda de Play Store, incluida la distribución de tiendas de aplicaciones competidoras a través de Google Play y brindando a los rivales acceso a su catálogo completo de aplicaciones, después de tener una demanda antitrustia perdida presentada por los juegos EPIC en 2020.

Aug 25, 2025Ravie Lakshmananmalware / Cyber ​​Espionage Un actor de amenaza de China-Nexus conocido como UNC6384 se ha atribuido a un conjunto de ataques dirigidos a diplomáticos en el sudeste asiático y otras entidades de todo el mundo para avanzar en los intereses estratégicos de Beijing. «Esta cadena de ataque de varias etapas aprovecha la ingeniería social avanzada, incluidos los certificados de firma de código válidos, un ataque adversario en el medio (AITM) y las técnicas de ejecución indirecta para evadir la detección», dijo el investigador de Google Amenazing Intelligence Group (GTIG) Patrick Whitsell. UNC6384 se evalúa para compartir superposiciones tácticas y de herramientas con un grupo de piratería chino conocido llamado Mustang Panda, que también se rastrea como cuenca, presidente de bronce, dragón de Camaro, preta de la tierra, honeymyte, reddelta, lich rojo, estadía taurus, temp.hex y typhoon timilos. La campaña, detectada por GTIG en marzo de 2025, se caracteriza por el uso de una redirección de portal cautivo para secuestrar el tráfico web y entregar un descargador firmado digitalmente llamado StaticPlugin. El descargador luego allana el camino para la implementación en memoria de una variante plugx (también conocida como KorPlug o Sogu) llamada Sogu.Sec. Plugx es una puerta trasera que admite comandos para exfiltrar archivos, registrar las teclas de teclas, iniciar un shell de comando remoto, cargar/descargar archivos, y puede extender su funcionalidad con complementos adicionales. A menudo se lanza a través de la carga lateral de DLL, el implante se extiende a través de unidades flash USB, correos electrónicos de phishing dirigidos que contienen archivos adjuntos o enlaces maliciosos, o descargas de software comprometidas. El malware ha existido desde al menos 2008 y es ampliamente utilizado por grupos de piratería chinos. Se cree que ShadowPad es el sucesor de Plugx. La cadena de ataque de UNC6384 es bastante sencilla en que las tácticas adversas en el medio (AITM) y la ingeniería social se utilizan para entregar el malware Tugx: las pruebas del navegador web del objetivo si la conexión a Internet está detrás de un portal cautivo que un AITM redirige el navegador a un nave[.]com «staticplugin recupera un paquete MSI del mismo sitio web que CanonStager está cargada de DLL e implementa la puerta trasera Sogu.Sec en la memoria El Hijack de Portal Captive se utiliza para entregar malware disfrazado de una actualización de complementos de Adobe a las entidades dirigidas. En el navegador de cromo, el portal de la cromo, la funcionalidad Captive se logra mediante una solicitud de una solicitud de hardos («.[.]com/generate_204 «) que redirige a los usuarios a una página de inicio de sesión de Wi-Fi. Mientras» Gstatic[.]com «es un dominio legítimo de Google utilizado para almacenar el código JavaScript, las imágenes y las hojas de estilo como una forma de mejorar el rendimiento, Google dijo que los actores de amenazas probablemente llevan a cabo un ataque de AITM para imitar las cadenas de redirección de la página del portal cautivo a la página web de desembarco del actor de la amenaza. Etapa. (también conocido como StaticPlugin) que, cuando se lanza, desencadena la carga útil Sogu.Sec en el fondo utilizando una DLL referida como CanonStager («CNMPaui.dll») que está acelerando usando la herramienta Canon IJ Assistant («CNMPaui.exe»). El certificado emitido por Globalsign. Actores, «Dijo Whitsell.» El uso de técnicas avanzadas como AITM combinada con firma de código válida e ingeniería social en capas demuestra las capacidades de esta amenaza del actor «.