Bitdefender ha lanzado un descifrador para la cepa de ransomware ShrinkLocker, que utiliza la herramienta de cifrado de unidad BitLocker integrada en Windows para bloquear los archivos de la víctima.
Actualizacion-Vulnerabilidad RCE en la interfaz de administración en PAN-OS de Palo Alto Networks
Palo Alto publicó un aviso de seguridad el pasado 08/11/2024 debido a una vulnerabilidad alta detectada en la consola de configuración de PAN-OS. La severidad de esta vulnerabilidad ha ascendido a crítica tras detectarse la explotación activa de la misma y fue actualizado por el fabricante el 14/11/2024.
Archivos de Microsoft Visio utilizados en sofisticados ataques de phishing
Descubiertos por Perception Point, los nuevos ataques utilizan el formato .vsdx de Visio, un tipo de archivo comúnmente empleado para diagramas de negocios, para disfrazar URL maliciosas y eludir los escaneos de seguridad tradicionales.
El 12 de noviembre de 2024, el SAP Security Patch Day vio la publicación de 8 nuevas notas de seguridad. Además, hubo 2 actualizaciones de las notas de seguridad publicadas anteriormente.
Actualización de seguridad de SAP de noviembre de 2024
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 8 notas de seguridad: 1 de severidad alta, 6 medias y 1 baja. También, se han actualizado 2 notas de seguridad: una alta y otra baja.
Ivanti ha publicado 49 vulnerabilidades, de entre ellas 9 críticas y el resto repartidas entre altas y medias, que afectan a Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) e Ivanti Endpoint Manager (EPM). La explotación de estas vulnerabilidades podría derivar en una ejecución de código remoto RCE.
Actualizaciones de seguridad de Microsoft de noviembre de 2024
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de noviembre, consta de 89 vulnerabilidades (con CVE asignado), calificadas 4 como críticas, 72 como altas y 13 medias.
IoCs - bug de Microsoft SharePoint RCE bug utilizado para vulnerar red corporativa
Los investigadores de Rapid7 investigaron recientemente la actividad no autorizada en una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio.
El investigador de seguridad, Netsecfish, ha publicado una investigación aportando detalles sobre una vulnerabilidad crítica de inyección de comandos que afecta a más de 60.000 dispositivos NAS de D-Link que se encuentran ya sin soporte (EoS). Además, en dicha investigación, se incluye un exploit disponible públicamente.
Vulnerabilidad crítica de CyberPanel (CVE-2024-51378): cómo mantenerse protegido
VE-2024-51378 es una vulnerabilidad crítica con una puntuación CVSS de 9,8 en las versiones 2.3.6 y 2.3.7 de CyberPanel que permite la ejecución remota de código (RCE) sin autenticación.
HPE advierte de fallos críticos de RCE en los puntos de acceso de Aruba Networking
Hewlett Packard Enterprise (HPE) ha publicado actualizaciones para el software Instant AOS-8 y AOS-10 con el fin de abordar dos vulnerabilidades críticas en los puntos de acceso a redes de Aruba.
Nokia declara que el codigo filtrado en ataque pertenecia a terceros
La investigación de Nokia sobre las recientes denuncias de una violación de datos encontró que el código fuente filtrado en un foro de piratas informáticos pertenece a un tercero y que los datos de la empresa y los clientes no se han visto afectados.
Boletín de seguridad de Android: noviembre de 2024
El boletín de Android, relativo a noviembre de 2024, soluciona una vulnerabilidad de severidad crítica y múltiples altas que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una ejecución remota de código, una divulgación de información o una denegación de servicio.
Los estafadores utilizan la API de DocuSign para evadir los filtros de spam con facturas de phishing
Los estafadores están explotando las API de DocuSign para enviar facturas falsas realistas, principalmente dirigidas a software de seguridad como Norton. Esta técnica de phishing elude los filtros tradicionales de spam de correo electrónico al originarse en cuentas y plantillas legítimas de DocuSign, lo que dificulta la detección.
ChatGPT-4o se puede utilizar para estafas autónomas basadas en voz
Los investigadores han demostrado que es posible abusar de la API de voz en tiempo real de OpenAI para ChatGPT-4o, un chatbot avanzado de LLM, para realizar estafas financieras con tasas de éxito bajas a moderadas.
DEF CON 32 Going undercover to breach LockBit Ransomware Op- Jon DiMaggio
Delve into the clandestine world of the LockBit ransomware In this revealing presentation, I will recount my two-year journey spent infiltrating the inner ranks of the LockBit crime syndicate. Learn about the strategies employed to earn the trust of key individuals within the syndicate, including the gangs leader, LockBitSupp.
El gigante tecnológico taiwanés Foxconn anuncia la construcción en México de la mayor planta mundial para fabricar ‘superchips’ a Nvidia
Se trata de la mayor empresa de productos electrónicos del mundo que creará los superchips GB200 para la empresa estadounidense, diseñados para servidores de inteligencia artificial
La víctima del momento es Interbank. Desde que DarkWebInformer publicó la noticia acerca de que kzoldyck estaba ofreciendo en venta 3.7TB de datos exfiltrados del banco, los ojos de todo Perú y de una parte muy importante de toda América Latina cayeron en el banco.
Múltiples vulnerabilidades en HPE Aruba Networking Access Points
Erik De Jong y zzcentury han reportado a HPE 6 nuevas vulnerabilidades, 2 de severidad crítica, 3 altas y 1 media. La explotación de estas vulnerabilidades podría provocar la ejecución de remota de código y el acceso sin autorización a determinados archivos.
Impresoras y MFP de Ricoh: vulnerabilidad de desbordamiento de búfer (CVE-2024-47939)
Ricoh ha identificado una vulnerabilidad de desbordamiento de búfer (CVE-2024-47939) al utilizar el Web Image Monitor que podría permitir un ataque de denegación de servicio (DoS) o de ejecución remota de código.
En una nueva campaña de phishing de Eventbrite, los actores de amenazas hacen un mal uso de los servicios de Eventbrite para robar información financiera o personal.
Mozilla: ChatGPT se puede manipular usando código hexadecimal
Una nueva técnica de inyección rápida podría permitir a cualquiera eludir las barreras de seguridad en el modelo de aprendizaje de idiomas (LLM) más avanzado de OpenAI.
Operadores de ransomware Black Basta utilizan ingenieria social en Microsoft Teams para atacar organizaciones
El notorio grupo de ransomware conocido como "Black Basta" ha intensificado sus tácticas de ingeniería social para obtener acceso no autorizado a los sistemas y datos confidenciales de las organizaciones.
Delta demanda a CrowdStrike por el colapso de las operaciones de julio
La aerolínea alega negligencia grave por parte de una empresa de ciberseguridad; CrowdStrike dice que Delta está tratando de desviar la culpa por los sistemas obsoletos
La banda RansomHub presuntamente está detrás del ataque a un operador aeroportuario mexicano
Un grupo de piratas informáticos recientemente destacado por agencias estadounidenses dijo que es responsable de un ataque dirigido a un operador de 13 aeropuertos en México.
Piratas informáticos vinculados a Rusia atacan al gobierno y los puertos de Japón
Los piratas informáticos vinculados a Rusia han apuntado a Japón, luego de que aumentara los ejercicios militares con aliados regionales y el aumento de su presupuesto de defensa.
Microsoft crea sitios falsos de Azure para atraer a los phishers a los honeypots
Con los datos recopilados, Microsoft puede mapear la infraestructura maliciosa, obtener una comprensión más profunda de las operaciones sofisticadas de phishing, interrumpir las campañas a gran escala, identificar a los ciberdelincuentes y ralentizar significativamente su actividad.
Se distribuye malware wipers en mails de ESET a empresas de Israel, La empresa niega haber sido vulnerada
La firma de seguridad niega una evaluación de que sus sistemas fueron comprometidos en Israel por ciberatacantes propalestinos, pero reconoció un ataque a uno de sus socios.
Internet Archive vuelve a ser vulnerado a través de tokens de acceso robados
Desde anoche, BleepingComputer ha recibido numerosos mensajes de personas que recibieron respuestas a sus antiguas solicitudes de eliminación de Internet Archive, advirtiendo que la organización ha sido violada ya que no rotaron correctamente sus tokens de autenticación robados.
Una autenticación faltante para una vulnerabilidad de función crítica [CWE-306] en el demonio fgfmd de FortiManager puede permitir que un atacante remoto no autenticado ejecute código arbitrario o comandos a través de solicitudes especialmente diseñadas.
Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, donde se habilitan las credenciales por defecto durante el proceso de creación de la imagen, lo que podría permitir obtener privilegios de root.
VMware corrige una falla de inyección SQL de alta gravedad en la plataforma HCX
VMware parchea CVE-2024-38814 y advierte que los atacantes con privilegios que no son de administrador pueden ejecutar código remoto en el administrador de HCX.
Ejecución de código remoto en SolarWinds Web Help Desk
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha notificado una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk y que de ser explotada podría permitir la ejecución de código remoto.
Verificación incorrecta de la firma criptográfica en GitHub Enterprise Server
GitHub Enterprise Server contiene una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante acceder sin autorización a datos de usuarios.
El atacante Intel Broker afirma haber causado una importante violación de datos en Cisco
Intel Broker afirma haber sufrido una importante violación de datos en Cisco, supuestamente robando códigos fuente, documentos confidenciales y credenciales de empresas globales como Verizon, AT&T, Microsoft y más. Los datos ya están a la venta en los foros de infracción.
Intel Broker, un hacker conocido por sus violaciones de datos de alto perfil, afirma haber violado al gigante tecnológico Cisco Systems
Microsoft comunica que perdió semanas de registros de seguridad para los productos en la nube de sus clientes
Microsoft ha notificado a los clientes que le faltan más de dos semanas de registros de seguridad para algunos de sus productos en la nube, lo que deja a los defensores de la red sin datos críticos para detectar posibles intrusiones.
Actores de amenazas usan ChatGPT para escribir malware
OpenAI ha interrumpido más de 20 operaciones cibernéticas maliciosas que abusan de ChatGPT para diversos fines, incluido el desarrollo de malware y ataques de spear-phishing.
Sitio de novias virtuales de IA vulnerado, fantasías en chat de usuarios robadas
Un pirata informático ha robado una base de datos masiva de las interacciones de los usuarios con los chatbots de sus parejas sexuales, según 404 Media.
Vulnerabilidad de seguridad corregida en Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
Un atacante pudo lograr la ejecución de código en el proceso de contenido mediante la explotación de un uso posterior a la liberación en las escalas de tiempo de animación. Hemos tenido informes de que esta vulnerabilidad se está explotando en la naturaleza.
Múltiples vulnerabilidades en Expedition conducen a la exposición de credenciales de firewall
Múltiples vulnerabilidades en Palo Alto Networks Expedition permiten a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema Expedition. Combinados, incluyen información como nombres de usuario, contraseñas de texto no cifrado, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS.
Actualización de seguridad disponible para Adobe Commerce
Adobe ha lanzado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas, importantes y moderadas.
Parches de octubre de 2024 de Microsoft corrige 5 días cero
Hoy es el martes de parches de octubre de 2024 de Microsoft, que incluye actualizaciones de seguridad para 118 fallas, incluidas cinco de día cero divulgadas públicamente, dos de las cuales se explotan activamente.
MoneyGram no hay evidencia de que el ransomware esté detrás del reciente ciberataque
La plataforma de pago MoneyGram dice que no hay evidencia de que el ransomware esté detrás de un reciente ataque cibernético que provocó una interrupción de cinco días en septiembre.
Boletín de seguridad de Qualcomm Technologies - octubre de 2024
Qualcomm ha publicado en su boletín de seguridad varias vulnerabilidades. Entre ellas, las que afectan a componentes del sistema se clasifican en: 1 de severidad crítica, 2 altas y 2 medias, que podrían permitir a un atacante ejecución remota de código.
Apple lanza actualizaciones críticas de iOS y iPadOS para corregir la vulnerabilidad de la contraseña de VoiceOver
Apple ha lanzado actualizaciones de iOS y iPadOS para abordar dos problemas de seguridad, uno de los cuales podría haber permitido que las contraseñas de un usuario fueran leídas en voz alta por su tecnología de asistencia VoiceOver.
Un funcionario de la Casa Blanca dice que las compañías de seguros deben dejar de financiar los pagos de ransomware
Las compañías de seguros deben dejar de emitir pólizas que incentivan la realización de pagos de extorsión en ataques de ransomware, dijo el viernes un alto funcionario de la Casa Blanca.
MITRE lanza la iniciativa de intercambio de incidentes de IA
La colaboración con socios de la industria tiene como objetivo mejorar las defensas colectivas de la IA. Los colaboradores de confianza reciben datos protegidos y anónimos sobre incidentes de IA del mundo real.
Informes: China hackeó Verizon y AT&T, y podría haber accedido a los sistemas de escuchas telefónicas de EE.UU.
Piratas informáticos del gobierno chino penetraron en las redes de varios grandes proveedores de servicios de Internet con sede en Estados Unidos y podrían haber obtenido acceso a sistemas utilizados para escuchas telefónicas autorizadas por tribunales de redes de comunicaciones, informó el sábado The Wall Street Journal.
El investigador lebr0nli (Alan Li) ha reportado una vulnerabilidad de severidad crítica que afecta a Zimbra Collaboration Suite (ZCS), y cuya explotación podría permitir la ejecución remota de código por parte de un atacante.
Ejecución de comandos en Cisco Nexus Dashboard Fabric Controller
Cisco ha publicado una vulnerabilidad crítica que afecta a su producto Cisco Nexus Dashboard Fabric Controller (NDFC), cuya explotación podría permitir la ejecución de comandos con privilegios de administrador de red.
Los hackers de FIN7 lanzan sitios "generadores" de desnudos deepfake para propagar malware
El notorio grupo de piratas informáticos APT conocido como FIN7 ha lanzado una red de sitios falsos generadores de deepnude impulsados por IA para infectar a los visitantes con malware que roba información.
HPE ha publicado un boletín de seguridad para 12 nuevas vulnerabilidades, 1 crítica, 4 altas, 5 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar la denegación del servicio (DoS) o la perdida de la confidencialidad entre otros.
Código de IA no puede dejar de alucinar nombres de paquetes.
Investigadores de la Universidad de Texas en San Antonio, la Universidad de Oklahoma y Virginia Tech analizaron recientemente 16 LLM utilizados para la generación de código para explorar su inclinación por inventar nombres de paquetes.
Deserialización insegura en Veeam Backup and Replication: CVE-2024-40711
Veeam Backup & Replication es una aplicación de backup propietaria desarrollada por Veeam para entornos virtuales basados en hipervisores VMware vSphere, Nutanix AHV y Microsoft Hyper-V.
Una falla crítica en NVIDIA Container Toolkit permite la toma de control del host de IA
Una vulnerabilidad crítica en NVIDIA Container Toolkit afecta a todas las aplicaciones de IA en un entorno local o en la nube que dependen de él para acceder a los recursos de la GPU.
Múltiples vulnerabilidades en WhatsUp Gold de Progress Community
El equipo de WhatsUp Gold ha identificado 6 vulnerabilidades: 2 de severidad crítica y 4 altas, que podrían permitir el acceso y el control no autorizados de la infraestructura de la red.
Los equipos de respuesta a incidentes de Secureworks identificaron que los usuarios eran redirigidos a sitios web maliciosos después de buscar servicios de transmisión de video en Google.
Akira es una cepa de ransomware que Microsoft Threat Intelligence detectó por primera vez en marzo de 2023. El análisis de Akira revela características comunes observadas en otras cepas de ransomware, como el uso del algoritmo de cifrado ChaCha, PowerShell y Windows Management Instrumentation (WMI).
El investigador, Simone EvilSocket Margaritelli, ha publicado un artículo en el que describe 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que afectan a OpenPrinting CUPS (Common UNIX Printing System), un sistema de impresión de código abierto presente en la mayoría de las distribuciones Linux actuales.
Este código malicioso comenzó a aparecer
a partir de fin de Octubre del 2023, pero ha tenido un incremento en su actividad a partir de Junio del
2024 hasta fin de Agosto del 2024.
Telegram compartirá las direcciones IP y los números de teléfono de los sospechosos de delitos con la policía
Telegram comenzará a entregar las direcciones IP y los números de teléfono de los usuarios que violen sus Términos de servicio "a las autoridades pertinentes en respuesta a solicitudes legales válidas", anunció el lunes el fundador y CEO de Telegram, Pavel Durov.
Kaspersky se retira de EE.UU. y reemplaza automáticamente el software con UltraAV
El proveedor de antivirus Kaspersky ha comenzado formalmente a retirar sus ofertas en Estados Unidos, migrando a los usuarios existentes a UltraAV, a partir del 19 de septiembre de 2024, antes de su salida formal a finales de mes.
Crystal Rans0m es una familia de ransomware híbrido recién descubierta escrita en Rust, observada por primera vez el 2 de septiembre de 2023. Este malware destaca por su doble funcionalidad: no solo encripta los archivos de las víctimas y exige un rescate, sino que también roba datos confidenciales, lo que da más ventaja a los atacantes. Este enfoque dual, denominado "ladrón como ransomware" por los investigadores, permite a los atacantes monetizar tanto el cifrado como los datos robados, lo que lo convierte en una grave amenaza.
Ivanti ha informado de una vulnerabilidad crítica, cuya explotación podría permitir a un usuario remoto autenticarse para acceder a funcionalidades restringidas y ejecutar comandos arbitrarios.
El equipo de investigación de amenazas de SonicWall Capture Labs se dio cuenta de la amenaza CVE-2024-20017, evaluó su impacto y desarrolló medidas de mitigación para la vulnerabilidad.
Inteligente campaña de GitHub Scanner que abusa de los repositorios para impulsar malware
Una inteligente campaña de amenazas está abusando de los repositorios de GitHub para distribuir el malware de robo de contraseñas Lumma Stealer, dirigido a los usuarios que frecuentan un repositorio de proyectos de código abierto o están suscritos a notificaciones por correo electrónico de él.
La empresa de seguridad rusa Dr.Web desconecta todos los servidores tras ataque.
El martes, la compañía rusa de antimalware Doctor Web reveló una brecha de seguridad después de que sus sistemas fueran blanco de un ataque cibernético durante el fin de semana.
Fortinet sufre una violación de datos de terceros que afecta a los clientes de Asia-Pacífico
Fortinet, detrás de Palo Alto y CrowdStrike, es la tercera firma de seguridad cibernética más grande, con una valoración de 60.000 millones de dólares.
Operación cibernética israelí masiva: miembros de Hezbollah heridos por la explosión de buscapersonas
Una operación cibernética a gran escala presuntamente llevada a cabo por Israel ha provocado la explosión de varios dispositivos de comunicación, descritos como "buscapersonas", transportados por miembros de Hezbollah en varias regiones del Líbano.
Una investigación recientemente publicada ha revelado cómo los actores de amenazas están utilizando una nueva técnica tortuosa para obligar a los usuarios del navegador Chrome a revelar las contraseñas de sus cuentas de Google por pura frustración.
Ivanti lanza actualizaciones de seguridad para Endpoint Manager, Cloud Service Application y Workspace Control
Ivanti ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades en Ivanti Endpoint Manager, Cloud Service Application 4.6 y Workspace Control. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Un investigador de ciberseguridad está instando a los usuarios a actualizar Adobe Acrobat Reader después de que ayer se lanzara una solución para una ejecución remota de código de día cero con un exploit público de prueba de concepto en la naturaleza.
GitLab corrige una falla que permite la ejecución no autorizada de trabajos de canalización
GitLab lanzó el miércoles actualizaciones de seguridad para abordar 17 vulnerabilidades de seguridad, incluida una falla crítica que permite a un atacante ejecutar trabajos de canalización como un usuario arbitrario.
Vulnerabilidad RCE en SolarWinds Access Rights Manager
Piotr Bazydlo (@chudypb), investigador de Trend Micro ZDI, ha reportado una vulnerabilidad crítica detectada en Access Rights Manager (ARM) de SolarWinds.
Los investigadores zbl y srs, del equipo TZL, en colaboración con el concurso 2024 Matrix Cup, han reportado 2 vulnerabilidades, una crítica y otra alta, que afectan a productos de VMware, cuya explotación podría permitir realizar un desbordamiento de búfer o escalar privlegios.
El hacker del USDoD detrás de la filtración de US$3.000 millones del SSN se revela como ciudadano brasileño
Hacker USDoD, vinculado a importantes violaciones de datos, revela su identidad como ciudadano brasileño. Descubra las implicaciones y cómo el tratado de extradición de Brasil con los EE. UU. puede afectar su futuro.
Se abusa de los comentarios de GitHub para impulsar malware que roba contraseñas enmascarado como correcciones
Se está abusando de GitHub para distribuir el malware de robo de información Lumma Stealer como correcciones falsas publicadas en los comentarios del proyecto.
Varios productos de D-Link han llegado a su fin de vida y fin de servicio. En unos nuevos boletines de seguridad, D-Link ha publicado 8 vulnerabilidades, 4 de ellas críticas y las demás altas.
Boletín de seguridad de Android: septiembre de 2024
El boletín de Android, relativo a septiembre de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.
Cisco advierte sobre puerta trasera en Smart Licensing Utility
Cisco ha eliminado una cuenta de puerta trasera en Cisco Smart Licensing Utility (CSLU) que se puede utilizar para iniciar sesión en sistemas sin parches con privilegios administrativos.
Zyxel advierte de un fallo crítico de inyección de comandos del sistema operativo en los routers
Zyxel ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad crítica que afecta a múltiples modelos de sus routers empresariales, lo que podría permitir a los atacantes no autenticados realizar la inyección de comandos del sistema operativo.
hacktivistas piden la liberación del fundador de Telegram con #FreeDurov campaña DDoS
En las últimas semanas, ha surgido una nueva campaña hacktivista para exigir la liberación del CEO de Telegram, Pavel Durov, tras su arresto por parte de las autoridades francesas.
Piratas informáticos inyectan JS malicioso en la tienda de Cisco para robar tarjetas de crédito y credenciales
El sitio de Cisco para vender productos con temas de la compañía está actualmente fuera de línea y en mantenimiento debido a que los piratas informáticos lo comprometieron con código JavaScript que roba detalles confidenciales de los clientes proporcionados al finalizar la compra.
Cisco ha publicado 6 nuevas vulnerabilidades, de las cuales 2 son críticas, otra alta y las demás medias. La explotación de estas vulnerabilidades podría permitir la escalada de privilegios, el acceso a la información sin autorización o la inyección de código.
Múltiples vulnerabilidades en HP-UX Secure Shell de HPE
HPE ha publicado un boletín de seguridad con 10 nuevas vulnerabilidades, 2 de ellas críticas, 2 altas y el resto medias. La explotación de estas vulnerabilidades podría provocar la evasión de restricciones de acceso, ejecución arbitraria de comandos, modificación arbitraria de archivos o evasión de autenticación, entre otros.
Inyección de comandos en productos de Progress Kemp
Florian Grunow, investigador de ERNW, ha reportado una vulnerabilidad de severidad crítica que afecta a varios productos de Progress Kemp, cuya explotación podría permitir a un atacante inyectar comandos del sistema operativo.
El gigante estadounidense de alquiler de automóviles Avis notificó a los clientes que atacantes desconocidos violaron una de sus aplicaciones comerciales el mes pasado y robaron parte de su información personal.
Parche para progress para vulnerabilidades en LoadMaster y MT Hypervisor
Progress Software ha lanzado actualizaciones de seguridad para una falla de máxima gravedad en el hipervisor LoadMaster y Multi-Tenant (MT) que podría resultar en la ejecución de comandos arbitrarios del sistema operativo.
América Latina está experimentando un aumento en los sofisticados ataques de phishing dirigidos a los sistemas financieros, con el resurgimiento de troyanos bancarios como Mekotio, BBTok y Grandoreiro.
SiegedSec se retira temporalmente del panorama activo del cibercrimen y lanza sitio de educacion para hackers
SiegedSec se retira temporalmente del panorama activo del cibercrimen y lanza sitio didáctico de recursos para hackers (link original sanitizado con corchetes)
Google advierte de un fallo de seguridad de Chrome CVE-2024-7965 que se está explotando activamente
Google ha revelado que una falla de seguridad que fue parcheada como parte de una actualización de software implementada la semana pasada en su navegador Chrome ha sido objeto de una explotación activa en la naturaleza.
Cisco parchea una vulnerabilidad de alta gravedad reportada por la NSA
Una vulnerabilidad de alta gravedad en Cisco Unified CM y Unified CM SME podría permitir a los atacantes causar una condición de denegación de servicio (DoS).
GitHub Enterprise Server vulnerable a una falla crítica de omisión de autenticación
Una vulnerabilidad crítica que afecta a varias versiones de GitHub Enterprise Server podría aprovecharse para eludir la autenticación y permitir que un atacante obtenga privilegios de administrador en la máquina.
Individuo piratea registro de defunciones del estado para fingir su propia muerte y evitar pagar sus obligaciones de manutención infantil.
Un hombre de Somerset, Kentucky, Jesse Kipf, de 39 años, fue sentenciado a 81 meses el lunes por el juez federal de distrito Robert Wier, por fraude informático y robo de identidad agravado.
Nuevo tratado de la ONU sobre ciberdelincuencia podría amenazar los derechos humanos
Las lagunas en el tratado de las Naciones Unidas recientemente adoptado podría conducir a una vigilancia digital invasiva, advierten expertos en derechos humanos
novedoso malware infostealer, denominado Ailurophile Stealer basado en PHP
El malware tiene diferentes componentes para varias funcionalidades como la terminación de procesos, la recopilación de datos y la entrega opcional de carga útil con la capacidad de desactivación de Windows Defender.
SolarWinds corrige un error crítico de RCE que afectaba a todas las versiones de Web Help Desk
Una vulnerabilidad crítica en la solución Web Help Desk de SolarWinds para soporte al cliente podría ser explotada para lograr la ejecución remota de código, advierte el desarrollador de software empresarial estadounidense en un aviso de seguridad.
F5 corrige vulnerabilidades de alta gravedad en BIG-IP, NGINX Plus
La última notificación trimestral de seguridad de F5 incluye nueve avisos, incluidos cuatro para vulnerabilidades de alta gravedad en BIG-IP y NGINX Plus.
Vulnerabilidad de ejecución remota de código TCP/IP en IPv6
Un atacante no autenticado podría enviar repetidamente paquetes IPv6, que incluyen paquetes especialmente diseñados, a una máquina Windows que podría permitir la ejecución remota de código.
Ivanti ha publicado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que afectan a sus productos Virtual Traffic Manager y Neurons para ITSM. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, divulgar información sensible o realizar un ataque MitM.
Actualizaciones de seguridad de Microsoft de agosto de 2024
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 13 de agosto, consta de 90 vulnerabilidades (con CVE asignado), calificadas 7 como críticas, 65 como importantes y 18 moderadas.
Atacantes tomaron el control de un robot ordeñador de vacas causando la muerte de ganado
Los ladrones tomaron el control de un robot ordeñador de vacas y exigieron un rescate a un granjero que se negó a pagarlo, lo que resultó en la muerte de ganado.
Una de las características antiphishing de Microsoft 365 se puede omitir con CSS
En concreto, la medida antiphishing que se puede ocultar es el "Consejo de seguridad en el primer contacto", que advierte a los destinatarios de correo electrónico en Outlook cuando reciben un mensaje de una dirección desconocida.
El boletín de Android, relativo a agosto de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una ejecución remota de código.
332 millones de direcciones de correo electrónico extraídas de SOCRadar.io publicadas en línea
El archivo CSV de 14 GB, que contiene solo las direcciones de correo electrónico y sin contraseñas, se analizó a partir de registros de ladrones y listas combinadas, que generalmente contienen datos recopilados a través de infecciones de malware y agregados de varias violaciones de datos.
RDGAS: El Próximo Capítulo en Algoritmos de Generación de Dominios
Los investigadores de Infoblox publicaron un informe que profundiza en la técnica emergente de los algoritmos de generación de dominios registrados (RDGA), que los actores de amenazas están utilizando para remodelar el panorama de amenazas de DNS con millones de nuevos dominios. El informe analiza más a fondo Revolver Rabbit, un notable actor de amenazas que ha aprovechado los RDGA en su implementación de Xloader.
operadores de ransomware explotan la vulnerabilidad del hipervisor ESXi para el cifrado masivo
La vulnerabilidad, identificada como CVE-2024-37085, involucra a un grupo de dominio a cuyos miembros se les otorga acceso administrativo completo al hipervisor ESXi de forma predeterminada sin la validación adecuada.
Múltiples vulnerabilidades 0day en productos de Apple
Apple ha informado sobre varias vulnerabilidades, alguna de tipo 0day, que podrían determinar la distribución de la memoria del núcleo, provocar un apagado inesperado del sistema, un bloqueo inesperado del proceso, un ataque de secuencias de comandos entre sitios o acceder a las pestañas de navegación privada sin autenticación, entre otras acciones.
Ejecución de código arbitrario en Acronis Cyber Infrastructure
Acronis ha publicado una vulnerabilidad de severidad crítica que está siendo explotada activamente y podría provocar una ejecución de código arbitrario.
Desaparecen de CompraNet 2 millones de contratos de 2012 a 2023
La plataforma CompraNet, en donde se realizan y publican las compras y contrataciones del Gobierno Federal, ha eliminado todos los documentos de las asignaciones realizadas entre 2012 y 2023, que suman un total de 4.7 billones de pesos entregados mediante cerca de 2 millones de contratos.
Los anuncios de Google difunden un sitio falso de Google Authenticator que instala malware
Google ha sido víctima de su propia plataforma publicitaria, lo que permite a los actores de amenazas crear anuncios falsos de Google Authenticator que impulsan el malware DeerStealer que roba información.
Envío de archivos potencialmente maliciosos en Exim MTA
Censys ha publicado un aviso en el que informa de una vulnerabilidad crítica que afecta a Exim MTA (agente de transferencia de correo), cuya explotación podría permitir a un atacante remoto enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.
Atacantes robaron registros de llamadas y mensajes de texto de clientes celulares de AT&T
Los piratas informáticos que aprovechan las credenciales robadas de las cuentas de Snowflake han robado registros de llamadas y mensajes de texto realizados por "casi todos" los clientes celulares de AT&T de mayo a octubre de 2022, confirmó la compañía.
Las direcciones de correo electrónico de 15 millones de usuarios de Trello se filtraron en un foro
Un actor de amenazas ha liberado más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que se recopilaron mediante una API no segura en enero.
Cisco corrige error de SSM On-Prem que permite a los atacantes cambiar la contraseña de cualquier usuario
Cisco ha corregido una vulnerabilidad de gravedad máxima que permite a los atacantes cambiar la contraseña de cualquier usuario en los servidores de licencias vulnerables de Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluidos los administradores.
Múltiples vulnerabilidades en productos Solar Winds
Solarwinds ha publicado 13 vulnerabilidades: 8 de ellas críticas y 5 altas. La explotación de estas vulnerabilidades podría permitir la fuga de información, la ejecución de código y la escalada de privilegios.
Cómo funcionan las estafas de phishing de criptomonedas?
Las estafas de phishing de Cryptodrainer se han convertido en una amenaza importante, ya que se dirigen a personas desprevenidas a través de tácticas engañosas para robar sus activos digitales.
La fuga de datos del foro de piratería BreachForums v1 expone la información de los miembros
La información privada de los miembros del foro de piratería BreachForums v1 de 2022 se ha filtrado en línea, lo que permite a los actores de amenazas e investigadores obtener información sobre sus usuarios.
Divulgación de información en productos Check Point Software de Technologies
Check Point Software Technologies ha publicado un aviso de seguridad que contiene información sobre una vulnerabilidad que afecta a varios de sus productos y que podría exponer información sensible.
Múltiples vulnerabilidades en Endpoint Manager para Mobile de Ivanti
Ivanti ha publicado 4 vulnerabilidades: 1 de severidad crítica, 2 altas y una media. La explotación de estas vulnerabilidades podría permitir fuga de información, acceso a recursos y ejecución de código.
Vulnerabilidad de autenticación inadecuada en Progress MOVEit Transfer
Progress ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación del producto afectado.
Vulnerabilidad de inyección SQL en FileCatalyst Workflow
Tenable Research ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante modificar los datos de la aplicación.
LockBit mintió: los datos robados provienen de un banco, no de la Reserva Federal de EE. UU.
El grupo de ransomware LockBit, recientemente interrumpido, en un intento desesperado por regresar, afirmó esta semana que había atacado a la Reserva Federal, el banco central de los Estados Unidos.
Plugins comprometidos encontrados en WordPress.org
Un actor de amenazas desconocido ha comprometido cinco complementos de WordPress y les ha inyectado un código que crea una nueva cuenta de administrador, lo que les permite un control completo sobre las instalaciones / sitios web de WordPress.
Apple parchea la vulnerabilidad Bluetooth de los AirPods que podría permitir el espionaje
Apple ha lanzado una actualización de firmware para los AirPods que podría permitir que un actor malintencionado obtenga acceso a los auriculares de manera no autorizada.
¿Por qué los actores de amenazas fingen violaciones de datos?
A principios de este año, Europcar descubrió a un hacker que vendía información sobre sus 50 millones de clientes en la web oscura. La empresa europea de alquiler de coches inició inmediatamente una investigación, sólo para descubrir que los datos que se vendían estaban completamente manipulados, posiblemente utilizando IA generativa.
Un actor de amenazas afirma vender una base de datos de 5 TB de Rappi, RappiCarga y RappiPay en varios países
Un actor de amenazas afirma estar vendiendo las bases de datos de Rappi, RappiCarga y RappiPay, afectando a usuarios de Colombia, Perú, México, Brasil y Chile. Según el actor de amenazas, los datos completos ascienden a más de 5 TB.
La red corporativa de TeamViewer fue violada en un presunto hackeo de APT
La compañía de software de acceso remoto TeamViewer advierte que su entorno corporativo fue violado en un ataque cibernético ayer, con una firma de ciberseguridad afirmando que fue por un grupo de piratas informáticos APT.
Detienen en España a dos implicados en un centenar de ciberataques, que incluyen al Poder Judicial de Tlaxcala
La Guardia Civil española, en colaboración con el FBI estadounidense, detuvo a dos personas acusadas de realizar al menos un centenar de ciberataques contra administraciones públicas y empresas privadas de países como España, México, Argentina, Honduras y Perú.
El troyano bancario Mekotio amenaza los sistemas financieros de LATAM
El troyano bancario Mekotio, activo desde 2015, se dirige principalmente a los países latinoamericanos para robar credenciales bancarias confidenciales a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Tras la ejecución, recopila información del sistema, se conecta a un servidor de comando y control, realiza el robo de credenciales, la recopilación de información y emplea mecanismos de persistencia. Los datos robados se devuelven al servidor para actividades fraudulentas. Los usuarios y las organizaciones deben seguir las mejores prácticas de seguridad para mitigar esta amenaza.
YouTube se convierte en el último frente de batalla contra el phishing y los deepfakes
Los correos electrónicos de phishing personalizados con oportunidades de colaboración falsas y descripciones de video comprometidas que se vinculan con malware son solo algunos de los nuevos trucos.
Ivanti ha reportado en su último boletín de seguridad 16 vulnerabilidades, de las cuales 6 son de severidad crítica y 10 de severidad alta. No hay constancia que ninguna de las vulnerabilidades esté siendo explotada.
Veeam advierte de un error crítico de omisión de autenticación de Backup Enterprise Manager
Veeam ha advertido hoy a sus clientes que parcheen una vulnerabilidad de seguridad crítica que permite a los atacantes no autenticados iniciar sesión en cualquier cuenta a través de Veeam Backup Enterprise Manager (VBEM).
GitHub advierte sobre una falla de omisión de autenticación SAML en Enterprise Server
GitHub ha corregido una vulnerabilidad de omisión de autenticación de gravedad máxima (puntuación CVSS v4: 10.0) rastreada como CVE-2024-4985, que afecta a las instancias de GitHub Enterprise Server (GHES) que utilizan la autenticación de inicio de sesión único (SSO) de SAML.
Google corrige el tercer día cero de Chrome explotado activamente en una semana
Google ha lanzado una nueva actualización de seguridad de emergencia de Chrome para abordar la tercera vulnerabilidad de día cero explotada en ataques en una semana.
FBI incauta el foro de hackeo BreachForums por segunda vez
La incautación se produjo el miércoles por la mañana, poco después de que el sitio fuera utilizado la semana pasada para filtrar datos robados de un portal de aplicación de la ley de Europol.
Adobe documenta múltiples fallos de ejecución de código en una amplia gama de productos, incluidos los programas Adobe Acrobat y Reader, ampliamente utilizados.
Desde su creación, tres factores clave han afectado la capacidad de NVD para clasificar los problemas de seguridad, y lo que estamos experimentando ahora es el resultado.
VMware corrige tres errores de día cero explotados en Pwn2Own 2024
VMware corrigió cuatro vulnerabilidades de seguridad en los hipervisores de escritorio Workstation y Fusion, incluidos tres días cero explotados durante el concurso de piratería Pwn2Own Vancouver 2024.
Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante acceder a información sensible, acceder a la sesión de otro usuario o ejecutar código arbitrario, ejecutar código arbitrario en el kernel, entre otras acciones.
Múltiples vulnerabilidades en Simple PHP Shopping Cart
INCIBE ha coordinado la publicación de 9 vulnerabilidades: 5 de severidad crítica y 4 medias, que afectan a Asaancart Simple PHP Shopping Cart, versión 0.9, una solución de carrito de la compra especialmente desarrollada para pequeñas y medianas empresas, las cuales han sido descubiertas por Rafael Pedrero.
Europol confirma la violación de un portal web y dice que no se han robado datos operativos
Europol, la agencia de aplicación de la ley de la Unión Europea, confirmó que su portal de la Plataforma Europol para Expertos (EPE) fue violado y ahora está investigando el incidente después de que un actor de amenazas afirmara que robó documentos de uso oficial (FOUO) que contenían datos clasificados.
Google corrige 5to día cero de Chrome explotado en ataques este año
Google ha lanzado una actualización de seguridad para el navegador Chrome para corregir la quinta vulnerabilidad de día cero explotada en la naturaleza desde principios de año.
El ataque GhostStripe acecha a los coches autónomos haciéndoles ignorar las señales de tráfico
Seis expertos, en su mayoría procedentes de universidades con sede en Singapur, dicen que pueden demostrar que es posible interferir con los vehículos autónomos explotando la dependencia de las máquinas de la visión por ordenador basada en cámaras y hacer que no reconozcan las señales de tráfico.
Se abusa de la API de Dell para robar 49 millones de registros de clientes en una filtración de datos
El actor de amenazas detrás de la reciente violación de datos de Dell reveló que extrajeron información de 49 millones de registros de clientes utilizando una API de portal de socios a la que accedieron como una empresa falsa.
EE.UU. acusa a un hombre ruso de ser el jefe del grupo de ransomware LockBit
Estados Unidos se unió hoy al Reino Unido y Australia para sancionar al ciudadano ruso de 31 años Dmitry Yuryevich Khoroshev como presunto líder del infame grupo de ransomware LockBit. El Departamento de Justicia de EE.UU. también acusó a Khoroshev y lo acusó de usar Lockbit para atacar a más de 2.000 víctimas y extorsionar al menos 100 millones de dólares en pagos de ransomware.
El boletín de Android, relativo a mayo de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar escalada de privilegios o divulgación de información.
El ransomware aumenta a pesar de las eliminaciones, según un informe de Corvus
Nuevas bandas de ransomware ya han llenado el vacío dejado por LockBit y ALPHV/BlackCat en el primer trimestre de 2024, según un nuevo informe de Corvus Insurance.
El gobierno de EE.UU. advierte de que los hacktivistas prorrusos atacan las instalaciones de agua
El gobierno de Estados Unidos advierte que los hacktivistas prorrusos están buscando y hackeando sistemas de tecnología operativa (OT) no seguros utilizados para interrumpir las operaciones de infraestructura crítica.
Hacker finlandés es encarcelado por acceder a miles de registros de psicoterapia y exigir rescates
En febrero de 2023, la policía francesa detuvo al conocido hacker finlandés Aleksanteri Kivimäki, que vivía bajo una identidad falsa cerca de París. Fue deportado a Finlandia. Su juicio terminó el mes pasado.
Se ha restablecido la neutralidad de la red en USA
La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) votó hoy a favor de restablecer un estándar nacional para garantizar que Internet sea rápido, abierto y justo. La decisión de hoy de reclasificar el servicio de banda ancha como un servicio de telecomunicaciones del Título II permite a la FCC proteger a los consumidores, defender la seguridad nacional y promover la seguridad pública.
Múltiples vulnerabilidades en ArubaOS de HPE Aruba
HPE ha publicado 10 vulnerabilidades: 4 de severidad crítica y 6 medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).
Ciber-atacantes de origen iraní afirman: "Violetamos los radares en Israel"
Handala es conocida por atacar los intereses israelíes. En el pasado, ha realizado ataques cibernéticos a sitios web gubernamentales y del sector privado.
El gigante fabricante de chips Nexperia confirma un ciberataque en medio de afirmaciones de un grupo de ransomware
El gigante mundial fabricante de chips Nexperia ha revelado que sufrió un ciberataque en medio de informes de que piratas informáticos de ransomware robaron documentos confidenciales y propiedad intelectual de la empresa.
Se reaviva la esperanza en el Tratado de la ONU contra la ciberdelincuencia a medida que se reanudan las negociaciones
Propuesta inicialmente por Rusia a la ONU en 2017, la Convención Internacional Integral para Contrarrestar el Uso de Tecnologías de la Información y las Comunicaciones con Fines Delictivos (comúnmente conocida como Tratado sobre Delitos Cibernéticos) está diseñada para crear un marco legal acordado globalmente para combatir el fraude y las estafas en línea. y acoso.
El intento de LockBit de mantenerse relevante, sus impostores y nuevos grupos oportunistas de ransomware
El Centro de Investigación Avanzada Trellix ha observado recientemente un aumento de la actividad cibernética relacionada con LockBit en torno a las vulnerabilidades en ScreenConnect.
Avalanche 6.4.3 Reforzamiento de la seguridad y CVE abordados
Avalanche 6.4.3 ha solucionado algunos nuevos refuerzos de seguridad y vulnerabilidades en nuestra versión del primer trimestre de 2024. No tenemos conocimiento de ninguna explotación de estas vulnerabilidades en el momento de la divulgación.
Múltiples vulnerabilidades en productos de Fortinet
CataLpa de Dbappsecurity Co. Ltd y Tomas Kabrt, han reportado 3 vulnerabilidades, una de severidad crítica y dos de severidad alta, cuya explotación podría permitir a un atacante ejecutar código arbitrario.
La falla crítica de Rust permite ataques de inyección de comandos de Windows
Los actores de amenazas pueden aprovechar una vulnerabilidad de seguridad en la biblioteca estándar de Rust para atacar sistemas Windows en ataques de inyección de comandos.
Cisco Talos ha observado a un actor de amenazas implementando un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un conocido troyano bancario y una herramienta de spam en las máquinas víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020.
Phishing: dominios suspendidos revelan carga útil maliciosa para la región de América Latina
Recientemente, observamos una campaña de phishing dirigida a la región de América Latina. El correo electrónico de phishing contenía un archivo adjunto ZIP que, cuando se extrae, revela un archivo HTML que conduce a la descarga de un archivo malicioso que se hace pasar por una factura.
Microsoft corrige 149 fallas en el enorme lanzamiento del parche de abril, incluidos los días cero
Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir un récord de 149 fallas , dos de las cuales han sido explotadas activamente.
IBM ha publicado una vulnerabilidad de severidad crítica en su servicio PCOMM que podría permitir a un atacante con pocos privilegios moverse lateralmente a los sistemas afectados y aumentar sus privilegios.
Múltiples vulnerabilidades en HTTP/2 CONTINUATION Flood
El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.
Campaña masiva de phishing golpea a América Latina: Venom RAT apunta a múltiples sectores
El actor de amenazas conocido como TA558 se ha atribuido a una nueva campaña masiva de phishing que se dirige a una amplia gama de sectores en América Latina con el objetivo de implementar Venom RAT.
Datos personales de 73 millones de titulares de cuentas en EE.UU. de AT&T se filtraron a la dark web
AT&T ha iniciado una investigación sobre el origen de una filtración de datos que incluye información personal de 73 millones de clientes actuales y anteriores en Estados Unidos.
Chilango Leaks: hackers de Mexican Mafia atacan al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras
La nueva herramienta GEOBOX secuestra la Raspberry Pi y permite a los atacantes falsificar la ubicación
La nueva herramienta de la Dark Web GEOBOX, vendida por 700 dólares en Telegram y foros clandestinos, secuestra Raspberry Pi, lo que permite a los ciberdelincuentes falsificar ubicaciones y evadir la detección.
FlowFixation Vulnerabilidad de adquisición del servicio AWS Apache Airflow
Tenable Research descubrió una vulnerabilidad de toma de control de cuenta con un solo clic en el servicio Apache Airflow de AWS Managed Workflows que podría haber permitido la toma completa del panel de administración web de la instancia de Airflow de la víctima. El descubrimiento de esta vulnerabilidad ahora resuelta revela un problema más amplio de dominios principales compartidos mal configurados que pone en riesgo a los clientes de los principales CSP.
Ivanti corrige un error crítico de Standalone Sentry informado por la OTAN
Ivanti advirtió a los clientes que parchearan inmediatamente una vulnerabilidad Standalone Sentry de gravedad crítica informada por investigadores del Centro de Seguridad Cibernética de la OTAN.
Atacante supuestamente filtra base de datos de Banregio Grupo Financiero, revelando información confidencial
Un presunto actor de amenazas supuestamente reveló la base de datos de Banregio Grupo Financiero, un grupo financiero en México, con un tamaño de 340 MB y tipos de archivos que incluyen doc, xlsx, csv, sql y html.
SAP parchea vulnerabilidades críticas de inyección de comandos
El fabricante de software empresarial SAP documenta múltiples problemas de gravedad crítica y advierte sobre el riesgo de ataques de inyección de comandos.
Fortinet lanza actualizaciones de seguridad para múltiples productos
Fortinet lanzó actualizaciones de seguridad para abordar las vulnerabilidades en múltiples productos de Fortinet. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
El nuevo ataque Loop DoS afecta a miles de sistemas
Se ha descubierto que un novedoso vector de ataque de denegación de servicio (DoS) se dirige a protocolos de capa de aplicación basados en el Protocolo de datagramas de usuario (UDP), poniendo en riesgo a cientos de miles de hosts.
El grupo hacktivista Anonymous ha reivindicado una reciente violación de las redes administrativas (no operativas) de las instalaciones nucleares de Israel en Dimona como protesta contra la guerra con Gaza.
Cisco lanza actualizaciones de seguridad para software IOS XR
Cisco lanzó actualizaciones de seguridad para abordar vulnerabilidades en el software Cisco IOS XR. Un actor de amenaza cibernética podría explotar una de estas vulnerabilidades para tomar el control de un dispositivo afectado.
CISA anima a los usuarios y administradores a revisar las siguientes advertencias y aplicar las actualizaciones necesarias:
Software Cisco IOS XR para ASR 9000 Series Agregation Services Routers PPPoE Denegabilidad de servicio
Cisco IOS XR Software SSH Privilege Escalada de vulnerabilidadCisco IOS XR Software Layer 2 Servicios Denegación de Vulnerabilidad de servicio
Este producto está sujeto a esta Notificación y a esta Política de Privacidad .
Tarjetas de crédito American Express expuestas en violación de datos de terceros
American Express advierte a sus clientes que las tarjetas de crédito quedaron expuestas en una violación de datos de terceros después de que un procesador comercial fuera pirateado.
La plataforma de inteligencia artificial Hugging Face está plagada de 100 modelos de ejecución de códigos maliciosos
El hallazgo subraya el creciente riesgo de convertir en armas modelos de IA disponibles públicamente y la necesidad de una mejor seguridad para combatir la amenaza inminente.
Los ataques de vishing, smishing y phishing se disparan un 1265% después de ChatGPT
Según Enea, el 76% de las empresas carecen de suficiente protección contra fraudes de voz y mensajes a medida que el vishing y el smishing impulsados por IA se disparan tras el lanzamiento de ChatGPT .
El ataque de phishing MiTM puede permitir a los atacantes desbloquear y robar un Tesla
Los investigadores demostraron cómo podían realizar un ataque de phishing Man-in-the-Middle (MiTM) para comprometer las cuentas de Tesla, desbloquear automóviles y arrancarlos. El ataque funciona en la última aplicación de Tesla, versión 4.30.6, y en la versión 11.1 2024.2.7 del software Tesla.
ComPromptMized: Liberación de gusanos sin clic dirigidos a aplicaciones impulsadas por GenAI
El año pasado, numerosas empresas incorporaron capacidades de IA generativa (GenAI) en aplicaciones nuevas y existentes, formando ecosistemas interconectados de IA generativa (GenAI) que consisten en agentes semi o totalmente autónomos impulsados por servicios GenAI. Si bien las investigaciones en curso resaltaron los riesgos asociados con la capa de agentes GenAI (por ejemplo, envenenamiento de diálogos, filtración de privacidad, jailbreak), surge una pregunta crítica: ¿pueden los atacantes desarrollar malware para explotar el componente GenAI de un agente y lanzar ataques cibernéticos en todo el GenAI?
El gigante siderúrgico ThyssenKrupp confirma un ciberataque a su división de automoción
El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división Automotriz la semana pasada, obligándolos a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.
La campaña TimbreStealer apunta a usuarios mexicanos con señuelos financieros
Esta campaña utiliza correos electrónicos de phishing con temas financieros, dirigiendo a los usuarios. a un sitio web comprometido donde está alojada la carga útil y engañarlos para que ejecuten la aplicación maliciosa.
Nitesh Surana (@_niteshsurana) de Trend Micro Research, ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto ejecutar código arbitrario.
Ejército monitorea redes sociales para identificar críticos de militares y del Gobierno, crea bots para influenciar web
El Centro de Operaciones para el Ciberespacio de Sedena cuenta con el software HIWIRE usado para monitorear a personas usuarias de redes sociales que hacen publicacions críticas al Ejército y al Gobierno federal, de acuerdo con documentos obtenidos por el Colectivo Guacamaya.
Subdominios secuestrados de marcas importantes utilizados en campaña masiva de spam
Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.
Sólo cinco días después de que un esfuerzo internacional de aplicación de la ley se apoderara de los sitios de filtración de LockBit , 34 servidores y 14.400 cuentas de correo electrónico fraudulentas utilizadas para respaldar la infraestructura y la extorsión, LockBit3.0 ha reaparecido con un nuevo sitio Tor que se parece al anterior.
Tanto los detalles técnicos como las pruebas de concepto están disponibles para las dos vulnerabilidades que ConnectWise reveló a principios de esta semana para ScreenConnect, su software de acceso y escritorio remoto.
Venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
En otro incidente en una linea interminable de fallas de ciberseguridad del actual gobierno venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
El troyano GoldPickaxe combina el robo de datos biométricos y los deepfakes para estafar a los bancos
Los investigadores de seguridad han advertido sobre un nuevo y sofisticado troyano diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios.
vulnerabilidad crítica MonikerLink en Microsoft Outlook
Manejo de hipervínculos en Outlook: la investigación demuestra que los hipervínculos “file://” se pueden manipular de cierta manera, lo que resulta en eludir las medidas de seguridad de Outlook, como la Vista protegida.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
Empresa pierde 25,6 millones de dólares debido a una conferencia telefónica deepfake.
Un empleado de la empresa fue invitado a una videollamada grupal llena de funcionarios de la empresa con deepfaking, incluido lo que parecía ser el director financiero de la empresa.
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
[Actualización 09/02/2024] Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Bancos mexicanos y plataformas de criptomonedas atacadas con Troyano AllaKore RAT
Un actor de amenazas motivado financieramente está apuntando a bancos mexicanos y entidades de comercio de criptomonedas con instaladores empaquetados personalizados que ofrecen una versión modificada de AllaKore RAT, una herramienta de acceso remoto de código abierto.
Tesla hackeado de nuevo, 24 días cero más explotados en competencia Pwn2Own Tokyo
Los investigadores de seguridad hackearon el sistema de infoentretenimiento de Tesla y demostraron 24 días cero más en el segundo día de la competencia de piratería Pwn2Own Automotive 2024.
El 12 de diciembre de 2023, se notificó a Hewlett Packard Enterprise Company que un presunto actor de estado-nación, que se cree que es el actor de amenazas Midnight Blizzard, el actor patrocinado por el estado también conocido como Cozy Bear, había obtenido acceso no autorizado al entorno de correo electrónico basado en la nube de HPE.
Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. En caso de tener acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.
Servidores de GitLab son vulnerables a los ataques de apropiación de cuentas sin clics que explotan la falla CVE-2023-7028.
La vulnerabilidad más crítica, rastreada como CVE-2023-7028 (puntuación CVSS 10), es la apropiación de una cuenta a través del restablecimiento de contraseña. La falla se puede explotar para secuestrar una cuenta sin ninguna interacción.
Mozilla lanza actualizaciones de seguridad para Thunderbird y Firefox
Mozilla ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades en Thunderbird y Firefox. Un actor de amenazas cibernéticas podría explotar una de estas vulnerabilidades para tomar el control de un sistema afectado.
Los estafadores se hacen pasar por representantes de recursos humanos y envían correos electrónicos maliciosos con enlaces que conducen a sitios de phishing o archivos adjuntos que pueden descargar malware. En los últimos seis meses, los investigadores han visto un aumento notable en el spam malicioso relacionado con recursos humanos, que se espera que continúe.
Explorando FBot | Malware basado en Python dirigido a servicios de pago.
FBot es una herramienta de piratería basada en Python distinta de otras familias de malware en la nube, dirigida a servidores web, servicios en la nube y plataformas SaaS como AWS, Office365, PayPal, Sendgrid y Twilio.
IA utilizada para falsificar las voces de los seres queridos en la estafa de accidente.
El San Francisco Chronicle cuenta la historia de una familia que casi fue estafada cuando escucharon la voz de su hijo diciéndoles que había tenido un accidente automovilístico y lastimado a una mujer embarazada.
El nuevo método iShutdown expone el spyware oculto como Pegasus en tu iPhone
Los investigadores de ciberseguridad han identificado un "método ligero" llamado iShutdown para identificar de manera confiable signos de spyware en dispositivos iOS de Apple, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.
GitLab advierte de una vulnerabilidad crítica de secuestro de cuentas de click cero
GitLab ha lanzado actualizaciones de seguridad tanto para Community como para Enterprise Edition para abordar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario.
Cómo evitar y denunciar las estafas con tarjetas de regalo
Solo los estafadores le dirán que compre una tarjeta de regalo, como una tarjeta de Google Play o Apple Card, y les darán los números del reverso de la tarjeta. No importa lo que digan, eso es una estafa.
Tenga cuidado con las estafas relacionadas con las tarjetas de regalo de Apple, las tarjetas de regalo de App Store y iTunes, y las tarjetas de regalo de Apple Store.
Tres nuevos paquetes maliciosos de PyPI implementan CoinMiner
FortiGuard ha identificado tres nuevos paquetes maliciosos de PyPI que despliegan un ejecutable CoinMiner en dispositivos Linux, en un análisis publicado en la revista Security Research Review (PSIRT) el miércoles.
China afirma que descifró el AirDrop de Apple para encontrar números y direcciones de correo electrónico
Un instituto de investigación respaldado por el estado chino afirma haber descubierto cómo descifrar los registros de dispositivos para la función AirDrop de Apple, lo que permite al gobierno identificar números de teléfono o direcciones de correo electrónico de quienes compartieron contenido.
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Cómo las alucinaciones de la IA dificultan la caza de bugs
Los programas de recompensas por errores que pagan a las personas por encontrar errores son una herramienta muy útil para mejorar la seguridad del software. Pero con la disponibilidad de la inteligencia artificial (IA) como se ve en los populares modelos de lenguaje grande (LLM) como ChatGPT, Bard y otros, parece que hay un nuevo problema en el horizonte.
El administrador de BreachForums encarcelado de nuevo por usar una VPN y PC sin supervisión
El administrador detrás del notorio foro de piratería BreachForums ha sido arrestado nuevamente por violar las condiciones de liberación previa al juicio, incluido el uso de una computadora no monitoreada y una VPN.
Los usuarios de X están hartos del flujo constante de anuncios de criptomonedas maliciosos
Los ciberdelincuentes están abusando de los anuncios X para promocionar sitios web que conducen a drenadores de criptomonedas, lanzamientos aéreos falsos y otras estafas.
Cuenta oficial X de la SEC fue comprometida y utilizada para publicar noticias falsas de Bitcoin
El regulador financiero de EE. UU. dice que su cuenta oficial de @SECGov estaba "comprometida", lo que resultó en una publicación "no autorizada" sobre el estado de los ETF de Bitcoin.
Ivanti ha descubierto una vulnerabilidad crítica en su producto EPM (Endpoint Manager), de tipo inyección SQL, cuya explotación podría permitir a un atacante remoto ejecutar código.
La cuenta de Mandiant en X fue hackeada para impulsar una estafa de criptomonedas
La cuenta de Twitter de la empresa estadounidense de ciberseguridad y subsidiaria de Google, Mandiant, fue secuestrada hoy para hacerse pasar por la billetera criptográfica Phantom y compartir una estafa de criptomonedas.
detección temprana de dominios malintencionados almacenados
Los actores maliciosos a menudo adquieren una gran cantidad de nombres de dominio (llamados dominios almacenados) al mismo tiempo o configuran su infraestructura de manera automatizada. Lo hacen, por ejemplo, mediante la creación de configuraciones de DNS y certificados para estos dominios mediante scripts.
Las superposiciones en la focalización, las características del malware y la evolución del malware a largo plazo después de 2018 sugieren que es probable que los subgrupos de Gaza Cybergang se hayan estado consolidando
Un informe describe cómo el grupo detrás de Lumma Stealer y el malware 7z-soft evadió la detección durante más de un año y actualmente está siendo investigado por Microsoft.
número creciente de aplicaciones maliciosas de préstamos de Android
Los investigadores han identificado un número creciente de aplicaciones maliciosas de préstamos de Android que se utilizan para chantajear y defraudar a los usuarios, y están disponibles para descargar desde tiendas de aplicaciones y sitios web de terceros.
Contrabando SMTP: cómo elude fácilmente sus defensas de correo electrónico
Una técnica recién descubierta que hace un mal uso de los comandos SMTP permite a los ciberdelincuentes pasar las comprobaciones SPF, DKIM y DMARC, lo que permite que los correos electrónicos suplantados lleguen a su víctima.
Atomic Stealer se distribuye a los usuarios de Mac a través de actualizaciones falsas del navegador
MalwareBytes informa que Atomic Stealer (también conocido como AMOS) ahora se está entregando a los usuarios de Mac a través de una cadena de actualización de navegador falsa rastreada como ClearFake.
Vulnerabilidad CVE-2023-46604 (Apache ActiveMQ) explotada para infectar sistemas con criptomineros y rootkits
Trend Vision descubrió la explotación activa de la vulnerabilidad CVE-2023-46604 de Apache ActiveMQ para descargar e infectar sistemas Linux con el malware Kinsing (también conocido como h2miner) y el minero de criptomonedas.
Associated Press, ESPN y CBS entre los principales sitios que ofrecen alertas falsas de virus
ScamClub es un actor de amenazas que ha estado involucrado en actividades de publicidad maliciosa desde 2018. Lo más probable es que te hayas encontrado con una de sus estafas en línea en tu dispositivo móvil. ScamClub es ingenioso y sigue teniendo un profundo impacto en el ecosistema publicitario.
Publicación de la falla PoC para RCE de Splunk Enterprise (CVE-2023-46214)
Se ha hecho público un exploit de prueba de concepto (PoC) para una falla de alta gravedad en Splunk Enterprise (CVE-2023-46214) que puede conducir a la ejecución remota de código.
Omisión de autenticación en VMware Cloud Director Appliance
Dustin Hartle, de Ideal Integrations Inc, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante omitir los mecanismos de autenticación del producto afectado.
Actualización de seguridad de SAP de noviembre de 2023
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 3 notas de seguridad, 1 de severidad crítica y 2 medias. También, se han actualizado 3 notas se seguridad de meses anteriores.
Microsoft corrige cinco vulnerabilidades de día cero
Microsoft ha lanzado correcciones para cinco vulnerabilidades de día cero en su ronda de actualizaciones mensuales, tres de las cuales están siendo explotadas activamente.
Una banda de ransomware presenta una queja ante la SEC por una infracción no revelada de la víctima
La operación de ransomware ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una queja ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ataque cibernético.
Hacktivistas irrumpen en laboratorio de investigación nuclear de EE. UU. y roban datos de empleados
El Laboratorio Nacional de Idaho (INL) confirma que sufrió un ciberataque después de que hacktivistas de SiegedSec filtraran en línea datos de recursos humanos robados.
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría provocar la ejecución de código arbitrario y pérdida de memoria.
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Malvertiser copia un sitio de noticias para PC para ofrecer un info-stealer
Los investigadores han identificado una nueva campaña de publicidad maliciosa que utiliza una plantilla que parece casi idéntica a un portal de noticias legítimo de Windows y entrega un instalador de software malicioso a las víctimas.
La aplicación Fake Ledger Live en Microsoft Store roba $768,000 en criptomonedas
Publicada con el nombre Ledger Live Web3, la aplicación falsa parece haber estado presente en Microsoft Store desde el 19 de octubre, pero el robo de criptomonedas comenzó a reportarse hace apenas un par de días.
Sitio web de Cloudflare caído por ataque DDoS reivindicado por Anonymous Sudan
Un grupo de amenazas conocido como Anonymous Sudan afirmó que fueron ellos quienes cerraron el sitio web de Cloudflare en un ataque distribuido de denegación de servicio (DDoS).
QNAP advierte sobre fallas críticas en la inyección de comandos en el sistema operativo y las aplicaciones QTS
QNAP Systems publicó avisos de seguridad para dos vulnerabilidades críticas de inyección de comandos que afectan múltiples versiones del sistema operativo QTS y aplicaciones en sus dispositivos de almacenamiento conectado a la red (NAS).
falla de día cero de SysAid explotada en ataques de ransomware Clop
Los actores de amenazas están explotando una vulnerabilidad de día cero en el software de gestión de servicios SysAid para obtener acceso a servidores corporativos para robar datos e implementar el ransomware Clop.
Google advierte cómo los piratas informáticos podrían abusar del servicio de calendario como canal C2 encubierto
Google advierte sobre múltiples actores de amenazas que comparten un exploit público de prueba de concepto (PoC) que aprovecha su servicio Calendario para alojar la infraestructura de comando y control (C2).
Se puede abusar de la red -Find My- de Apple para robar contraseñas registradas
Actores maliciosos pueden abusar de la red de ubicación "Find My" de Apple para transmitir sigilosamente información confidencial capturada por registradores de teclas instalados en los teclados.
Múltiples vulnerabilidades 0day en Microsoft Exchange
Piotr Bazydlo, de la iniciativa Trend Micro Zero Day, ha reportado 4 vulnerabilidades de severidad alta que permite a los atacantes remotos revelar información confidencial y ejecutar código arbitrario sobre las instalaciones afectadas de Microsoft Exchange.
Cómo Kopeechka, un servicio automatizado de creación de cuentas de redes sociales, puede facilitar el ciberdelito
Este informe explora el servicio Kopeechka y brinda un análisis técnico detallado de las características y capacidades del servicio y cómo puede ayudar a los ciberdelincuentes a lograr sus objetivos.
iLeakage: ataques de ejecución especulativa sin temporizador basados en navegador en dispositivos Apple
Presentamos iLeakage, un canal lateral de ejecución transitoria dirigido al navegador web Safari presente en Mac, iPad y iPhone. iLeakage muestra que el ataque Spectre sigue siendo relevante y explotable, incluso después de casi seis años de esfuerzos para mitigarlo desde su descubrimiento.
Advertencia de problemas F5: la vulnerabilidad BIG-IP permite la ejecución remota de código
F5 ha alertado a los clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría provocar la ejecución remota de código no autenticado.
La vacante de empleo falsa de Corsair apunta a los usuarios de LinkedIn con el malware DarkGate
Los investigadores de la empresa de seguridad WithSecure han descrito cómo se publican oportunidades laborales falsas en LinkedIn con la intención de difundir malware.
Microsoft hace sonar la alarma sobre Octo Tempest de habla inglesa
Microsoft ha descrito al grupo Octo Tempest (también conocido como Scattered Spider, 0ktapus, UNC3944) como “uno de los grupos criminales financieros más peligrosos” que operan en la actualidad.
Este martes el Aeropuerto Intercontinental de Querétaro (AIQ) registró un ciberataque en su sistema, sin embargo, se informa a los proveedores, usuarios y público en general que el equipo de expertos ya está trabajando para solucionar el problema.
Grupos hacktivistas utilizan desfiguraciones en el conflicto de Hamás con Israel
Los ataques de desfiguración implican la modificación no autorizada o el vandalismo de un sitio web o aplicación web. Estos ataques normalmente resultan en la alteración del contenido, la apariencia o la funcionalidad del sitio web por parte de atacantes con intenciones maliciosas.
Cuando PAM se vuelve deshonesto: el malware utiliza módulos de autenticación maliciosamente
En este artículo, exploraremos el uso de interfaces de programación de aplicaciones (API) del módulo de autenticación conectable (PAM) en software malicioso. También demostraremos por qué podría ser útil vigilar las API de PAM en un entorno de espacio aislado.
Vulnerabilidad 0day en protocolo HTTP/2 "Rapid Reset"
Cloudfare, en colaboración con Google y Amazon AWS, ha publicado la existencia de una vulnerabilidad 0day denominada ataque "HTTP/2 Rapid Reset". Explotando esta vulnerabilidad del protocolo HTTP/2 se podrían provocar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
El extensor de alcance WiFi D-Link vulnerable a ataques de inyección de comandos
El popular extensor de alcance D-Link DAP-X1860 WiFi 6 es susceptible a una vulnerabilidad que permite ataques DoS (denegación de servicio) e inyección remota de comandos.
Los ataques de LinkedIn Smart Links vuelven a apuntar a cuentas de Microsoft
Los piratas informáticos una vez más están abusando de los enlaces inteligentes de LinkedIn en ataques de phishing para eludir las medidas de protección y evadir la detección en intentos de robar credenciales de cuentas de Microsoft.
Múltiples vulnerabilidades en la función de interfaz de usuario web del software Cisco IOS XE
Cisco proporciona una actualización para la investigación en curso sobre la explotación observada de la función de interfaz de usuario web en el software Cisco IOS XE.
La operación de defensa israelí Cyber Dome impulsada por IA cobra vida
Los israelíes están construyendo un sistema de ciberdefensa que utilizará plataformas de inteligencia artificial generativa similares a ChatGPT para analizar inteligencia sobre amenazas.
La aplicación maliciosa “RedAlert - Rocket Alerts” apunta a llamadas telefónicas, SMS e información de usuarios israelíes
El 13 de octubre de 2023, el equipo de operaciones contra amenazas Cloudforce One de Cloudflare se dio cuenta de que un sitio web alojaba una aplicación de Google para Android (APK) que se hacía pasar por la aplicación legítima RedAlert - Rocket Alerts.
Hasta ahora, el uso de novedosos malware/scareware y herramientas como Redline Stealer y PrivateLoader por parte de estos actores de amenazas continúa apuntando a ciudadanos, empresas y entidades del sector crítico israelíes, causando fugas de datos e interrupciones generalizadas.
En una investigación en profundidad realizada por Palo Alto Networks se ha descubierto un nuevo troyano XorDDoS, que infecta dispositivos Linux y los utiliza para llevar a cabo ataques distribuidos de denegación de servicio.
Actor de amenazas cibernéticas vinculado a Gaza apunta a los sectores de energía y defensa israelíes
Un actor de amenazas con sede en Gaza ha sido vinculado a una serie de ataques cibernéticos dirigidos a organizaciones israelíes de energía, defensa y telecomunicaciones del sector privado.
Millones de servidores de correo Exim expuestos a ataques RCE de día cero
Una vulnerabilidad crítica de día cero en todas las versiones del software del agente de transferencia de correo (MTA) de Exim puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.
Progress advierte sobre la vulnerabilidad del servidor WS_FTP de gravedad máxima
Progress Software, el fabricante de la plataforma de intercambio de archivos MOVEit Transfer recientemente explotada en ataques generalizados de robo de datos, advirtió a los clientes que parchearan una vulnerabilidad de máxima gravedad en su software de servidor WS_FTP.
Tequila OS 2.0: La primera distribución Linux forense en Latinoamérica
Estudiantes de la Universidad Nacional Autónoma de México desarrollaron Tequila OS 2.0, la primera distribución Linux en América Latina, especializándose en realizar análisis forenses en español.
Darkbeam fuga millones de combinaciones de correos y contraseñas
DarkBeam dejó desprotegida una interfaz de Elasticsearch y Kibana, exponiendo registros de violaciones de datos reportadas y no reportadas anteriormente.
Múltiples investigadores han reportado 61 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
Apple comunica que estas vulnerabilidades afectan a los componentes Kernel y WebKit y están siendo explotadas activamente.
Flipper Zero, el Tamagotchi para hackers, presenta su nueva versión
El "tamagochi de los hackers" lanza una edición limitada transparente. Es tan exclusivo que un mismo cliente no podrá comprar más de dos unidades y la tirada está limitada a solo 7.500 unidades.
Estafador de BEC se declara culpable de participar en un plan de 6 millones de dólares
Un nigeriano extraditado a Estados Unidos se había declarado culpable de su participación en una conspiración multimillonaria para comprometer correos electrónicos comerciales (BEC).
Detrás de escena de BBTok: análisis de los componentes del lado del servidor del malware bancario
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina. En la investigación, destacamos cadenas de infección recientemente descubiertas que utilizan una combinación única de binarios Living off the Land (LOLBins). Esto da como resultado bajas tasas de detección, a pesar de que BBTok Banker opera al menos desde 2020. Mientras analizamos la campaña, encontramos algunos de los recursos del lado del servidor del actor de amenazas utilizados en los ataques, dirigidos a cientos de usuarios en Brasil y México.
Trend Micro corrige la protección de endpoints de día cero utilizada en ataques
Trend Micro solucionó una vulnerabilidad de día cero de ejecución remota de código en la solución de protección de terminales Apex One de Trend Micro que fue explotada activamente en los ataques.
Bill Marczak, de The Citizen Lab de la Escuela Munk de la Universidad de Toronto, y Maddie Stone, de Google Threat Analysis Group, han reportado 3 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
38 TB de datos expuestos accidentalmente por investigadores de inteligencia artificial de Microsoft
Wiz Research encontró un incidente de exposición de datos en el repositorio GitHub de IA de Microsoft, incluidos más de 30.000 mensajes internos de Microsoft Teams, todos causados por un token SAS mal configurado.
La organización de agua de EE. UU. y Canadá confirma un incidente de ciberseguridad
La Comisión Conjunta Internacional, un organismo que gestiona los derechos de agua a lo largo de la frontera entre Estados Unidos y Canadá, confirmó que su seguridad informática fue atacada, luego de que una banda de ransomware afirmara que robó 80 GB de datos de la organización.
El ataque LockBit falla, el ransomware 3AM interviene como plan B
Los investigadores identificaron recientemente una nueva cepa de ransomware llamada 3AM. Su investigación reveló que el primer uso conocido de este ransomware se produjo cuando los actores de amenazas lo sustituyeron por el ransomware LockBit en un ataque fallido.
Advertencia de CISA: Hackers de los estados-nación explotan las vulnerabilidades de Fortinet y Zoho
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda una vulnerabilidad crítica. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
Adobe es consciente de que CVE-2023-26369 ha sido explotado libremente en ataques limitados dirigidos a Adobe Acrobat y Reader.
MGM Resorts cierra sus sistemas informáticos tras un ciberataque
MGM Resorts International reveló hoy que está lidiando con un problema de ciberseguridad que afectó a algunos de sus sistemas, incluido su sitio web principal, reservas en línea y servicios en el casino, como cajeros automáticos, máquinas tragamonedas y máquinas de tarjetas de crédito.
Poderosa milicia étnica de Myanmar repatria a 1.200 chinos sospechosos de estar implicados en delitos cibernéticos
Una de las milicias de minorías étnicas más grandes y poderosas de Myanmar arrestó y repatrió a más de 1.200 ciudadanos chinos presuntamente involucrados en operaciones criminales de estafa en línea.
El último truco de XLoader | Nueva variante de macOS disfrazada de OfficeNote firmada
XLoader ha regresado en una nueva forma y sin dependencias. Escrito de forma nativa en los lenguajes de programación C y Objective C y firmado con la firma de un desarrollador de Apple, XLoader ahora se hace pasar por una aplicación de productividad de oficina llamada "OfficeNote".
Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet
William Costa, del equipo CSE de Fortinet, ha notificado una vulnerabilidad de severidad alta que podría permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso en una página de gestión de invitados.
Routers ASUS se ven afectados por 3 nuevas fallas de RCE
Tres vulnerabilidades críticas de ejecución remota de código en los enrutadores ASUS permiten potencialmente a los atacantes secuestrar los dispositivos de red.
Boletín de seguridad de Android de septiembre de 2023
El boletín de Android, relativo a septiembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).
El kit de phishing W3LL secuestra cuentas de Microsoft 365 y elude MFA
Un actor de amenazas conocido como W3LL desarrolló un kit de phishing que puede eludir la autenticación multifactor junto con otras herramientas que comprometieron más de 8000 cuentas corporativas de Microsoft 365.
Las actualizaciones de VMware Aria Operations for Networks abordan múltiples vulnerabilidades. (CVE-2023-34039, CVE-2023-20890)
Se informaron de manera responsable a VMware múltiples vulnerabilidades en Aria Operations for Networks. Hay actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.
Servidores de correo electrónico del gobierno de EE. UU. pirateados en ataques de dispositivos Barracuda (seguimiento).
Presuntos piratas informáticos chinos atacaron organizaciones vinculadas a gobiernos en todo el mundo en ataques recientes dirigidos a un Barracuda Email Security Gateway (ESG) de día cero, con un enfoque en entidades de toda América.
Comportamientos extraños en dominios de nivel superior crean incertidumbre en DNS
Google presentó el nuevo dominio de nivel superior (TLD) “.zip” el 3 de mayo de 2023, lo que provocó una tormenta de controversia cuando las organizaciones de seguridad advirtieron contra la confusión que seguramente ocurriría.
Vulnerabilidad del dispositivo de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda
Mandiant evalúa que un número limitado de víctimas previamente afectadas que no han seguido las instrucciones de Barracuda para reemplazar sus electrodomésticos afectados aún pueden enfrentar riesgos asociados con esto.
CVE-2023-38035: Vulnerabilidad que afecta a Ivanti Sentry
Se ha descubierto una vulnerabilidad en Ivanti Sentry, anteriormente MobileIron Sentry. Hemos informado esto como CVE-2023-38035. Esta vulnerabilidad afecta a todas las versiones compatibles: versiones 9.18. 9.17 y 9.16. Las versiones/lanzamientos anteriores también están en riesgo.
DEF CON 31: El Departamento de Defensa de EE. UU. insta a los piratas informáticos a piratear la "IA"
El Dr. Craig Martell, director de Inteligencia Digital y Artificial del Departamento de Defensa de los Estados Unidos, hizo un llamado a la audiencia en DEF CON 31 en Las Vegas para que piratearan modelos de lenguaje grandes (LLM).
La primera actualización de seguridad semanal de Chrome corrige vulnerabilidades de alta gravedad
Google ha lanzado la primera actualización de seguridad semanal de Chrome, que corrige cinco vulnerabilidades de seguridad de la memoria, incluidas cuatro clasificadas como de "alta gravedad".
#OPFUKUSHIMA: GRUPO ANONYMOUS PROTESTA CONTRA EL PLAN DE VERTER AGUAS RESIDUALES RADIACTIVAS DE FUKUSHIMA AL PACÍFICO
El famoso colectivo Anonymous ha lanzado ciberataques contra sitios web nucleares japoneses en relación con el plan hidráulico contaminante de Fukushima.
Hackers adolescentes de Lapsus$ condenados por ciberataques de alto perfil
Un jurado de Londres determinó que un miembro de 18 años de la banda de extorsión de datos Lapsus$ ayudó a piratear varias empresas de alto perfil, les robó datos y exigió un rescate amenazando con filtrar la información.
Cuba Ransomware implementa nuevas herramientas: apunta al sector de infraestructura crítica
Los investigadores han descubierto y documentado nuevas herramientas utilizadas por el grupo de amenazas de ransomware Cuba. El ransomware Cuba se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración.
Los piratas informáticos abusan cada vez más de los túneles de Cloudflare para conexiones sigilosas
Los piratas informáticos abusan cada vez más de la función legítima de los túneles de Cloudflare para crear conexiones HTTPS sigilosas desde dispositivos comprometidos, eludir los firewalls y mantener la persistencia a largo plazo.
Microsoft corrige más de 80 fallas, incluidas dos de día cero
Microsoft lanzó ayer actualizaciones para 87 vulnerabilidades, incluidas dos que se están explotando activamente en la naturaleza.
El primer día cero se reveló públicamente en el Patch Tuesday del mes pasado, según el ingeniero de investigación sénior de Tenable, Satnam Narang.
CISA publica informes de análisis de malware en Backdoor de Barracuda
CISA ha publicado un informe de análisis de malware adicional asociado con la actividad maliciosa de Barracuda. El informe proporciona un análisis de cuatro muestras de malware.
SiegedSec Hacktivist afirma atacar a la OTAN y filtrar documentos confidenciales
En su canal Telegram, el grupo SiegedSec afirmó que su pirateo de la OTAN no tiene nada que ver con la guerra entre Rusia y Ucrania, y simplemente destaca los abusos de los derechos humanos por parte de la OTAN.
Base de datos de BreachForums y chats privados a la venta en filtración
Si bien los consumidores suelen ser los que se preocupan por la exposición de su información en las filtraciones de datos, ahora es el turno de los piratas informáticos, ya que la base de datos del notorio foro de delitos cibernéticos Breached está a la venta y los datos de los miembros se comparten con Have I Been Pwned.
El sitio web de la refinería de petróleo más grande de Israel fuera de línea después del ataque DDoS
El sitio web del operador de refinería de petróleo más grande de Israel, BAZAN Group, es inaccesible desde la mayor parte del mundo, ya que los actores de amenazas afirman haber pirateado los sistemas cibernéticos del Grupo.
Los piratas informáticos respaldados por Rusia utilizaron Microsoft Teams para violar las agencias gubernamentales
Los piratas informáticos patrocinados por el estado ruso se hicieron pasar por personal de soporte técnico en los equipos de Microsoft para comprometer a docenas de organizaciones globales, incluidas las agencias gubernamentales.
Fenix Cybercrime Group se hace pasar por autoridades fiscales para apuntar a usuarios latinoamericanos
Las personas que pagan impuestos en México y Chile han sido atacadas por un grupo de ciberdelincuencia con sede en México que se hace llamar Fenix para violar redes específicas y robar datos valiosos.
Servicios de atención primaria de EE. UU. cerrados después de un ataque cibernético
Un ataque cibernético generalizado en los sistemas informáticos de los hospitales ha causado interrupciones significativas en los Estados Unidos, lo que ha provocado el cierre de salas de emergencia en varios estados y el desvío de ambulancias.
Dog Hunt: Encontrar el kit de herramientas para Decoy Dog a través del tráfico DNS anómalo
A medida que los actores de amenazas han madurado durante la última década, han aprendido a evadir los métodos de detección estándar de la industria y se adaptan constantemente. Se sabe que a menudo registran un dominio, pero no lo usan por un tiempo: una técnica llamada envejecimiento estratégico.
Botnet Fenix: Nueva botnet que persigue a los contribuyentes en México y Chile
Los investigadores descubrieron recientemente un grupo local que creó una nueva botnet autoproclamada como "Fenix", que apunta específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile.
El equipo Qualys Threat Research Unit (TRU) ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto ejecutar comandos arbitrarios a través del ssh-agent de OpenSSH.
Chrome 115 se lanzó con parches para 20 vulnerabilidades, incluidas 11 informadas por investigadores externos, que ganaron miles de dólares en recompensas de "bug bounty".
Caimán manipulado: la sofisticada trampa de los depredadores bancarios de México
Quitando las capas de engaño, nos adentramos en una compleja operación de phishing que los investigadores de Perception Point han denominado "Caimán manipulado".
WormGPT, la herramienta de IA generativa para lanzar sofisticados ataques BEC
Investigadores de SlashNext advierten sobre los peligros relacionados con una nueva herramienta generativa de cibercrimen de IA denominada WormGPT. Dado que los chatbots como ChatGPT llegaron a los titulares, los expertos en seguridad cibernética advirtieron sobre posibles abusos de la inteligencia artificial (IA) generativa que los ciberdelincuentes pueden explotar para lanzar ataques sofisticados.
Una computadora que vuela cientos o incluso miles de kilómetros en el cielo, a una velocidad de decenas de miles de kilómetros por hora, sigue siendo, sin embargo, una computadora. Y cada computadora conectada tiene una superficie de ataque.
Fortinet lanza actualización de seguridad para FortiOS y FortiProxy
Fortinet ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica (CVE-2023-33308) que afecta a FortiOS y FortiProxy. Un atacante remoto puede aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
CISA alienta a los usuarios y administradores a revisar la versión de seguridad de Fortinet FG-IR-23-183 y aplicar las actualizaciones necesarias.
El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas
Hoy es dia de parches Microsoft, con actualizaciones de seguridad para 132 fallas, incluidas seis vulnerabilidades explotadas activamente y treinta y siete vulnerabilidades de ejecución remota de código.
Si bien se corrigieron treinta y siete errores de RCE, Microsoft solo calificó nueve como "Críticos". Sin embargo, una de las fallas de RCE permanece sin parchear y se explota activamente en ataques vistos por numerosas empresas de ciberseguridad.
Typo envía millones de correos electrónicos militares estadounidenses al aliado ruso Mali
Millones de correos electrónicos militares de EE. UU. se han enviado por error a Malí, un aliado de Rusia, debido a un error de escritura menor.
Los correos electrónicos destinados al dominio ".mil" del ejército estadounidense se han enviado durante años al país de África occidental que termina con el sufijo ".ml".
La Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Mientras aun se espera el catalogado y publicación de los 6TB de documentos filtrados por el grupo "Guacamaya" , la Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Nueva herramienta explota el error de Microsoft Teams para enviar malware a los usuarios
Un miembro del "Red Team" del US Navy ha publicado una herramienta llamada TeamsPhisher que aprovecha un problema de seguridad no resuelto en Microsoft Teams para eludir las restricciones de archivos entrantes de usuarios fuera de una organización objetivo, los llamados inquilinos externos.
Progress Software lanza Service Pack para vulnerabilidades de transferencia de MOVEit
Progress Software ha lanzado un Service Pack para abordar tres vulnerabilidades recientemente reveladas (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) en MOVEit Transfer. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para obtener información confidencial.
CISA alienta a los usuarios a revisar el artículo MOVEit Transfer de Progress Software y aplicar las actualizaciones del producto según corresponda para mejorar la seguridad.
Pirata informático con sede en México apunta a bancos globales con malware para Android
Un atacante de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un actor cuyo nombre en código es Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
Más de 300 000 firewalls de Fortinet son vulnerables a errores críticos de FortiOS RCE
Cientos de miles de firewalls FortiGate son vulnerables a un problema de seguridad crítico identificado como CVE-2023-27997, casi un mes después de que Fortinet publicara una actualización que soluciona el problema.
La vulnerabilidad es una ejecución remota de código con una puntuación de gravedad de 9,8 sobre 10 como resultado de un problema de desbordamiento de búfer basado en heap en FortiOS, el sistema operativo que conecta todos los componentes de red de Fortinet para integrarlos en la plataforma Security Fabric del proveedor.
Hackers afirman inhabilitar al proveedor ruso de comunicaciones por satélite.
Un grupo de hackers previamente desconocidos se atribuyó la responsabilidad de un ataque cibernético contra el proveedor ruso de comunicaciones por satélite Dozor-Teleport, que es utilizado por las empresas de energía y los servicios de defensa y seguridad del país.
Las autoridades estadounidenses confiscan el dominio BreachForums
El gobierno de EE. UU. finalmente parece haber capturado los dominios de clear web asociados con el notorio mercado de filtraciones BreachForums, a pesar del arresto del propietario del sitio hace meses.
Vulnerabilidad de día cero ESG de Barracuda (CVE-2023-2868) explotada globalmente por un actor agresivo y hábil, presuntos vínculos con China
El 23 de mayo de 2023, Barracuda anunció que una vulnerabilidad de día cero (CVE-2023-2868) en Barracuda Email Security Gateway (ESG) había sido explotada "in the wild" , en octubre de 2022 contrataron a Mandiant para ayudar en la investigacion, Mandiant identificó a un presunto actor con nexos con China, actualmente rastreado como UNC4841, apuntando a un subconjunto de dispositivos Barracuda ESG utilizados como vector de espionaje, que abarca una multitud de regiones y sectores. Mandiant evalúa con gran confianza que UNC4841 es un agente de espionaje detrás de esta amplia campaña en apoyo de la República Popular China.
RecordBreaker Infostealer disfrazado de instalador .NET
Si el malware se ejecuta en un entorno de usuario normal, el archivo de malware cifrado se descarga del servidor del autor de la amenaza y se ejecuta. El malware en este caso es RecordBreaker (Raccoon Stealer V2) Infostealer.
Sin embargo, en un entorno virtual, se descarga un instalador de actualización de .NET desde el sitio web oficial de Microsoft en lugar del malware. Después de descargar el instalador, se ejecuta y finaliza.
Fortinet corrige falla crítica de ejecución de comandos remotos de FortiNAC
La empresa de soluciones de ciberseguridad Fortinet ha actualizado su solución de acceso de confianza cero FortiNAC para abordar una vulnerabilidad de gravedad crítica que los atacantes podrían aprovechar para ejecutar código y comandos.
FortiNAC permite a las organizaciones administrar políticas de acceso a toda la red, obtener visibilidad de dispositivos y usuarios, y proteger la red contra accesos no autorizados y amenazas.
El problema de seguridad se rastrea como CVE-2023-33299 y recibió una puntuación de gravedad crítica de 9,6 sobre 10. Es una deserialización de datos que no son de confianza que puede conducir a la ejecución remota de código (RCE) sin autenticación.
Vulnerabilidad crítica de RCE CVE-2023-20887 en VMware vRealize explotada "in the wild"
VMware advierte a los clientes que una vulnerabilidad crítica de ejecución remota de código en Aria Operations for Networks (anteriormente vRealize Network Insight), rastreada como CVE-2023-20887, se está explotando activamente en la naturaleza.
“VMware ha confirmado que la explotación de CVE-2023-20887 se ha producido en la naturaleza”, se lee en el aviso.
ASUS insta a los clientes a reparar las vulnerabilidades críticas de sus routers
ASUS ha lanzado un nuevo firmware con actualizaciones de seguridad acumulativas que abordan las vulnerabilidades en múltiples modelos de enrutadores, advirtiendo a los clientes que actualicen inmediatamente sus dispositivos o restrinjan el acceso a la WAN hasta que estén protegidos.
Como explica la compañía, el firmware recién lanzado contiene correcciones para nueve fallas de seguridad, incluidas las más altas y críticas.
El sitio reencarnado de BreachForums acaba de ser hackeado y su base de datos de usuarios publicada. El equipo de investigación de Cybernews ha confirmado que la base de datos filtrada es legítima.
No ha pasado ni una semana desde que el mercado de delitos informáticos BreachForums pareció haber resucitado con la ayuda de su antiguo segundo al mando.
Sin embargo, los usuarios de los mercados de delitos cibernéticos rivales ahora comparten una base de datos que contiene los detalles de 4700 usuarios de los nuevos BreachForums.
Apple corrige los días cero utilizados para implementar el software espía Triangulación a través de iMessage
Apple abordó tres nuevas vulnerabilidades de día cero explotadas en ataques que instalan software espía Triangulación en iPhones a través de vulnerabilidades de clic cero de iMessage.
"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7", dice la compañía al describir las vulnerabilidades de Kernel y WebKit rastreadas como CVE-2023-32434 y CVE-2023-32435.
El grupo hacktivista Anonymous filtro 6.38 Gb de documentos del gobierno cubano en el seguimiento de su campaña contra el gobierno dictatorial de la isla.
Ciudadano ruso arrestado y acusado de conspirar para cometer ataques de ransomware LockBit contra EE. UU. y Negocios Extranjeros
El Departamento de Justicia anunció hoy cargos contra un ciudadano ruso por su participación en el despliegue de numerosos ransomware LockBit y otros ataques cibernéticos contra los sistemas informáticos de las víctimas en los Estados Unidos, Asia, Europa y África.
software de transferencia de archivos MOVEit Transfer victima de ransomware
Progress Software es una empresa estadounidense que proporciona MOVEit Transfer a muchas empresas para que puedan mover archivos de forma segura en los sistemas de la empresa. En un aviso de seguridad publicado por la empresa, se reveló que se había descubierto una vulnerabilidad en el software MOVEit Transfer que podría conducir a "privilegios aumentados y posible acceso no autorizado al entorno".
El 27 de mayo de 2023, la pandilla de ransomware CL0P, también conocida como TA505, comenzó a explotar una vulnerabilidad de inyección SQL previamente desconocida (CVE-2023-34362) en el software MOVEit Transfer. Entre las victimas se encuentran: BBC, British Airways y Ernst & Young entre otros.
Cisco Talos ha observado a un actor de amenazas que implementa un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020. El actor de amenazas parece estará dirigido a usuarios de habla hispana en las Américas y, según el análisis de Talos, podría estar ubicado en Brasil.
Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima. El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima. La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.
El 19 de mayo de 2023, Barracuda Networks identificó una vulnerabilidad de inyección de comando remoto (CVE-2023-2868) presente en las versiones 5.1.3.001-9.2.0.006 de Barracuda Email Security Gateway (solo factor de forma de dispositivo). La vulnerabilidad provino de una validación de entrada incompleta de los archivos .tar proporcionados por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. En consecuencia, un atacante remoto podría formatear los nombres de los archivos de una manera particular que daría como resultado la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway.
La investigación de Barracuda hasta la fecha ha determinado que un tercero usó la técnica descrita anteriormente para obtener acceso no autorizado a un subconjunto de dispositivos ESG.
Microsoft 365 phishing attacks use encrypted RPMSG messages
Attackers are now using encrypted RPMSG attachments sent via compromised Microsoft 365 accounts to steal Microsoft credentials in targeted phishing attacks designed to evade detection by email security gateways.
LockBit for Mac | How Real is the Risk of macOS Ransomware?
LockBit claims to be “the oldest ransomware affiliate program on the planet”, and news that one of the major cybercrime outfits in the ransomware landscape was now targeting macOS devices has predictably raised concerns about the ransomware threat on Mac devices.
Apple fixes recently disclosed zero-days on older iPhones and iPads
Apple has released emergency updates to backport security patches released on Friday, addressing two actively exploited zero-day flaws also affecting older iPhones, iPads, and Macs.
Google Chrome emergency update fixes first zero-day of 2023
Google has released an emergency Chrome security update to address the first zero-day vulnerability exploited in attacks since the start of the year.
"Google is aware that an exploit for CVE-2023-2033 exists in the wild," the search giant said in a security advisory published on Friday.
Beware of new YouTube phishing scam using authentic email address
Watch out for a new YouTube phishing scam and ignore any email from YouTube that claims to provide details about “Changes in YouTube rules and policies | Check the Description.”
Researcher Tricks ChatGPT Into Building Undetectable Steganography Malware
Using only ChatGPT prompts, a Forcepoint researcher convinced the AI to create malware for finding and exfiltrating specific documents, despite its directive to refuse malicious requests.
HP to patch critical bug in LaserJet printers within 90 days
HP announced in a security bulletin this week that it would take up to 90 days to patch a critical-severity vulnerability that impacts the firmware of certain business-grade printers.
The security issue is tracked as CVE-2023-1707 and it affects about 50 HP Enterprise LaserJet and HP LaserJet Managed Printers models.
Emotet Resumes Spam Operations, Switches to OneNote
Following its initial return to spamming operations, Emotet was leveraging heavily padded Microsoft Word documents in an attempt to evade detection. By leveraging a large number of inconsequential bytes in their documents, they could increase the size of the documents to surpass the maximum file size restrictions that automated analysis platforms like sandboxes and anti-virus scanning engines enforce.
The Titan Stealer: Notorious Telegram Malware Campaign
Titan Stealer malware, which is being marketed and sold by a threat actor (TA) through a Telegram channel for cybercrime purposes. The stealer is capable of stealing a variety of information from infected Windows machines, including credential data from browsers and crypto wallets, FTP client details, screenshots, system information, and grabbed files.
Google sponsored ads malvertising targets password manager
Malwarebytes researchers have found a more direct way to get at your login credentials by phishing for popular password manager 1Password, as well as using Google sponsored ads to trick people into downloading malware.
OneNote Documents Increasingly Used to Deliver Malware
Proofpoint researchers recently identified an increase in threat actor use of OneNote documents to deliver malware via email to unsuspecting end-users in December 2022 and January 2023.
GoDaddy Announces Source Code Stolen and Malware Installed in Breach
Web hosting company GoDaddy has revealed that an unauthorized party gained access to its servers and installed malware, causing the intermittent redirection of customer websites.
Hackers start using Havoc post-exploitation framework in attacks
Security researchers are seeing threat actors switching to a new and open-source command and control (C2) framework known as Havoc as an alternative to paid options such as Cobalt Strike and Brute Ratel.
New ESXiArgs ransomware version prevents VMware ESXi recovery
New ESXiArgs ransomware attacks are now encrypting more extensive amounts of data, making it much harder, if not impossible, to recover encrypted VMware ESXi virtual machines.
EvilProxy Phishing-as-a-Service con omisión de MFA surgió en la Dark Web
Resecurity ha identificado un nuevo servicio clandestino que permite a los ciberdelincuentes eludir los mecanismos de autenticación 2FA (MFA) a gran escala sin necesidad de piratear los servicios anteriores o la cadena de suministro. Los actores de EvilProxy están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima de proxy.
La nueva campaña de ataque de Golang aprovecha las macros de Office y las imagenes del telescopio Webb
El equipo de investigación de Securonix Threat identificó recientemente una muestra única de una campaña de ataque persistente basada en Golang rastreada por Securonix como GO#WEBBFUSCATOR. La nueva campaña incorpora una estrategia igualmente interesante al aprovechar la infame imagen de campo profundo tomada del telescopio James Webb y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware.
Ataque AiTM a gran escala dirigido a usuarios empresariales de servicios de correo Microsoft
Los investigadores de seguridad descubrieron una nueva variedad de una campaña de phishing a gran escala, que utiliza técnicas de adversario en el medio (AiTM) junto con varias tácticas de evasión. Se utilizaron técnicas similares de phishing AiTM en otra campaña de phishing descrita recientemente por Microsoft.
Emotet ha permanecido activo desde febrero de 2022. Hoy jueves 2022-07-07, hay un nuevo ejemplo de una infección de Emotet con Cobalt Strike para compartir.
El nuevo malware HiddenAds afecta a más de 1 millón de usuarios y se oculta en Google Play
Los investigadores de seguridad identificaron nuevo malware en Google Play Store. El malware oculta y muestra continuamente anuncios a las víctimas. Además, ejecutan servicios maliciosos automáticamente tras la instalación sin ejecutar la aplicación.
CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
Los rootkits son implantes de malware que se entierran en los rincones más profundos del sistema operativo. Aunque en el papel pueden parecer atractivos para los atacantes, crearlos plantea importantes desafíos técnicos y el más mínimo error de programación tiene el potencial de colapsar por completo la máquina víctima. En nuestras predicciones de APT para 2022, notamos que, a pesar de estos riesgos, esperábamos que más atacantes alcanzaran el nivel de sofisticación necesario para desarrollar tales herramientas. Uno de los principales atractivos del malware anidado en niveles tan bajos del sistema operativo es que es extremadamente difícil de detectar y, en el caso de los rootkits de firmware, asegurará que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la máquina por completo.
Hace unos meses, Trustwave informó sobre un sitio interesante llamado Chameleon Phishing Page. Estos sitios web tienen la capacidad de cambiar su fondo y logotipo según el dominio del usuario. El sitio de phishing se almacena en IPFS (Sistema de archivos interplanetarios) y después de revisar las URL utilizadas por el atacante, notamos un número creciente de correos electrónicos de phishing que contienen URL de IPFS como carga útil.
Malware sigiloso de OpenDocument desplegado contra hoteles latinoamericanos
A fines de junio de 2022, HP Wolf Security aisló una campaña de malware inusualmente sigilosa que usaba archivos de texto OpenDocument (.odt) para distribuir malware. OpenDocument es un formato de archivo abierto e independiente del proveedor compatible con varias suites de productividad de oficina populares, incluidas Microsoft Office, LibreOffice y Apache OpenOffice. Como se describe en una publicación de blog de Cisco Talos, la campaña está dirigida a la industria hotelera en América Latina. Los hoteles objetivo son contactados por correo electrónico con solicitudes de reserva falsas. En el caso a continuación, el documento adjunto supuestamente era un documento de registro de invitados.
Después de un pico en el impacto global de Emotet el mes pasado, Emotet ha vuelto a sus números de impacto global y continúa como el malware más extendido. Posiblemente terminó el pico, debido a las vacaciones de verano como se vio en el pasado. Sin embargo, constantemente se descubren nuevas características y mejoras en las capacidades de Emotet, como el desarrollo de su último módulo de ladrón de tarjetas de crédito y los ajustes realizados en sus sistemas de difusión.
Los analistas del Cofense Phishing Defense Center (PDC) analizaron recientemente los correos electrónicos de phishing que solicitan a los usuarios que descarguen una "Prueba de pago" que era el troyano bancario Lampion.
El troyano bancario Lampion existe desde 2019, pero esta es la primera vez que Cofense lo analiza. Utilizando la plataforma en la nube de confianza utilizada para los pagos, WeTransfer, los actores de amenazas intentan ganarse la confianza de los usuarios mientras aprovechan el servicio proporcionado por el popular sitio. Al aprovechar un sitio de pago confiable, no sorprende ver que los actores de amenazas alinean su mensaje de correo electrónico para este proceso.
Symbiote Deep-Dive: análisis de una nueva amenaza de Linux casi imposible de detectar
En biología, un simbionte es un organismo que vive en simbiosis con otro organismo. La simbiosis puede ser mutuamente beneficiosa para ambos organismos, pero a veces puede ser parasitaria cuando uno se beneficia y el otro se perjudica. Hace unos meses, descubrimos un nuevo malware para Linux® no detectado que actúa con esta naturaleza parasitaria. Acertadamente hemos llamado a este malware Symbiote.
RiskIQ: CVE-2022-30190: La vulnerabilidad de Follina en la herramienta de diagnóstico de Microsoft MSDT podría conducir a la ejecución de código
CVE-2022-30190, también conocido con el nombre "Follina", existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) usando su protocolo URL desde una aplicación como Microsoft Office o mediante un archivo RTF. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
El mes pasado, el Grupo de análisis de amenazas (TAG) de Google informó sobre EXOTIC LILY utilizando servicios de transferencia de archivos como TransferNow, TransferXL, WeTransfer o OneDrive para distribuir malware. Leer más aquí. Usando esta información, Duncan encontró un puñado adicional de URL TransferXL activas que entregan archivos ISO para el malware Bumblebee.
Trustwave SpiderLabs a principios de abril observó una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
"Mientras investigamos la infraestructura relacionada con el cargador de malware BUMBLEBEE, encontramos dos dominios sospechosos y varios subdominios que imitan a Fortinet"
Emotet: Nuevo mecanismo de entrega para eludir la protección de VBA
El 26 de abril de 2022, se detectó una nueva campaña de Emotet en la que se reemplazó el sistema de entrega habitual de Office por archivos LNK, en una clara respuesta a la protección VBA lanzada por Microsoft. Los investigadores encontraron 139 archivos LNK distintos que son parte de la misma campaña, entregando dos cargas útiles distintas que comparten la misma infraestructura C2.
BPFDoor: la herramienta china casi desapercibida durante CINCO años es la segunda basada en BPF
Los investigadores han descubierto una herramienta de vigilancia china altamente evasiva que utiliza el filtro de paquetes de Berkeley (BPF). El malware, denominado BPFDoor, está presente en “miles” de sistemas Linux, su controlador ha pasado casi completamente desapercibido para los proveedores de protección de puntos finales a pesar de haber estado en uso durante al menos cinco años.
Public Cloud Cybersecurity Threat Intelligence (202204)
Con la popularidad de los servicios en la nube, los problemas de seguridad en la nube se han vuelto cada vez más importantes. Los atacantes a menudo comprometen los servidores en la nube y usan las máquinas comprometidas para continuar con sus ataques.
SYK Crypter distribuye familias de malware a través de Discord
Con un 50% más de usuarios el año pasado que en 2020, la cantidad de personas que utilizan la plataforma de chat comunitario Discord está creciendo a un ritmo vertiginoso. Esto ha llevado a los ciberdelincuentes a refinar y expandir los casos de uso de ataques maliciosos para la plataforma. En este informe de investigación de amenazas, Morphisec revela cómo los actores de amenazas están utilizando Discord como parte de una cadena de ataque cada vez más popular con un nuevo encriptador SYK diseñado para burlar los controles de seguridad basados en firmas y comportamiento.
Vulnerabilidades de VMware explotadas en estado salvaje (CVE-2022-22954 y otras)
Los productos de VMware corren el riesgo de ser atacados por malware, según un informe publicado por la Unidad 42 de Palo Alto Networks y una Alerta CISA emitida por el gobierno de EE. UU. el 18 de mayo de 2022.
Mirai Malware for Linux Double Down en chips más fuertes
Las variantes del malware Mirai compiladas para servidores Linux y equipos de red con tecnología Intel han aumentado más del 100 % en los últimos tres años, según una investigación de la firma de seguridad CrowdStrike. el primero de su tipo.
Si trabajas en ciberseguridad, probablemente hayas oído hablar de la botnet Emotet. Alguna vez considerada la botnet de malware más grande del mundo hace más de un año, Emotet estaba compuesta por cientos de servidores de comando y control y casi dos millones de víctimas. Emotet era tan grande que se necesitó un esfuerzo conjunto entre los organismos encargados de hacer cumplir la ley y las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania para permitir que los investigadores tomaran el control de los servidores de la botnet, interrumpieran la operación del malware y arrestar a dos operadores.
Grandoreiro Banking Malware resurge para la temporada de impuestos
Los investigadores observaron a principios de abril una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Ladrón de información apunta a billeteras criptográficas a través de una actualización falsa de Windows 11
Desde su aparición en 2008, la criptomoneda ha pasado de ser una oscura tendencia de Internet a una unidad monetaria convencional. El valor creciente de las criptomonedas combinado con el respaldo de figuras públicas ha atraído a usuarios de todo el mundo. Sin embargo, esto también ha llevado a los atacantes a realizar estafas, desarrollar malware e infringir los intercambios de criptomonedas para defraudar a los usuarios y legitimar las empresas de criptomonedas.
A partir de marzo de 2022, Proofpoint observó campañas que ofrecían un nuevo descargador llamado Bumblebee. Al menos tres grupos de actividad, incluidos los actores de amenazas conocidos, distribuyen actualmente Bumblebee. Las campañas identificadas por Proofpoint se superponen con la actividad detallada en el blog del Grupo de análisis de amenazas de Google que conduce al ransomware Conti y Diavol.
La variante del ransomware AvosLocker abusa del archivo del controlador para deshabilitar el antivirus
TrendMicro encontró muestras del ransomware AvosLocker que utiliza un archivo de controlador legítimo para deshabilitar las soluciones antivirus y la evasión de detección. Si bien las infecciones anteriores de AvosLocker emplean rutinas similares, esta es la primera muestra que observamos en los EE. UU. con la capacidad de deshabilitar una solución de defensa mediante un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys). Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j Log4shell utilizando el script Nmap NSE.
ESET Research ha descubierto un esquema sofisticado que distribuye malware haciéndose pasar por billeteras de criptomonedas populares en las redes sociales y en el servicio de mensajería Telegram. la primera vez que hemos visto tal esquema.
JSSLoader Trojan entregado a traves de archivos XLL
Una nueva versión ofuscada del troyano de acceso remoto JSSLoader ha sido entregada a las máquinas infectadas a través de archivos XLL, reveló Morphisec Labs.
Uso de cuentas comprometidas de militares Ukranianos para phishing
Los investigadores de Proofpoint han identificado una campaña de phishing que se origina en una dirección de correo electrónico (ukr[.]net) que parece pertenecer a un miembro del servicio armado ucraniano comprometido como parte de TA445.
PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux
La vulnerabilidad se encuentra en el componente pkexec de PolKit, que está en la configuración por defecto de la mayoría de distribuciones Linux.
Todas las versiones de PolKit desde la primera introducción de pkexec son vulnerables; es decir, desde la versión 0.113 del año 2009.
Todas las distribuciones Major de Linux, inluyendo Ubuntu, Debian, Fedora y CentOS, se ven afectadas, ya que PolKit (antes PolicyKit) es un sistema para la gestión de permisos ampliamente usado en Linux.
Varios investigadores han reportado 3 vulnerabilidades en Samba: 1 de severidad crítica, 1 alta y 1 media. Un atacante podría filtrar información, ejecutar código y suplantar servicios arbitrarios, en caso de explotarlas.
Se han publicado múltiples vulnerabilidades en productos de Cisco que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios, ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.
Operacion Falcon II: Unit 42 ayuda a INTERPOL a detener a los atacantes SilverTerrier BEC
El arresto de 11 actores de amenazas nigerianos en una operación conjunta dirigida por el FBI, la Fuerza de Policía de Nigeria y la Organización Internacional para la Prohibición del Delito Cibernético (INTERPOL) es el último de una serie en curso de investigaciones de delitos cibernéticos.
Log4j Exploit : servidores vulnerables VMWare Horizon en riesgo
Los servidores VMWare Horizon vulnerables corren el riesgo de ser infectados con ransomware debido a una falla de seguridad conocida como Log4j. Las versiones 7.x y 8.x del servidor VMware Horizon son susceptibles a dos de las vulnerabilidades de Log4j (CVE-2021-44228 y CVE-2021-45046). Los expertos en seguridad afirmaron que un grupo de ataque ha estado explotando estas fallas para instalar webshells en servidores comprometidos.
Vulnerabilidad de Seguridad Ejecución remota de código en Microsoft Exchange
Descripción:
Una vulnerabilidad de ejecución remota de código (RCE) afecta Microsoft Exchange Server 2013, 2016 y 2019.
Impacto:
Estas vulnerabilidades afectan a Microsoft Exchange Server en las instalaciones locales (on-premise), incluidos los servidores utilizados por los clientes en el modo híbrido de Exchange. Los clientes de Exchange Online ya están protegidos y no necesitan realizar ninguna acción.
Solución:
Aplicar la actualización de seguridad
El Ciber-comando de Estados Unidos (CYBERCOM) ha identificado múltiples herramientas que los actores de inteligencia Iraní usan en redes alrededor del mundo según un reporte del Departamento de Defensa, la suite de malware Iraní esta compuesta de herramientas de inteligencia OSINT.
La firma Palo Alto ha descubierto una serie de dominios maliciosos que han permanecido durmientes en espera de posibilidades de ataque, a traves de patrones de trafico de DNS es posible detectarlos.
Lista de aplicaciones para revisar presencia de vulnerabilidad Log4Shell
El Centro Nacional de Ciberseguridad de Holanda (paises bajos), publico esta lista extensa de aplicaciones con detalles acerca de la presencia de la vulnerabilidad Log4Shell y pasos específicos por aplicacion para mitigarla
Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica (nuevo descubrimiento), que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (Remote Code Execution).
Lo anterior significa que con solo una petición (GET y un string especialmente construido) a un servidor vulnerable, se podría insertar una dirección para que el servidor vulnerable posteriormente ejecutara algún malware.
La vulnerabilidad afecta a Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución, por la que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados. Log4j is usada en una gran variedad de servicios al consumidor, sitios web, OT y aplicaciones para generar logs e información de desempeño de sistemas. Un atacante podria explotar esta vulnerabilidad para tomar control del sistema.
El grupo de atacantes TA575 ha aprovechado la epoca navideña para intensificar sus ataques de phishing y malware utilizando Macros de documentos de office.
Nuevo descifrador de ransomware ShrinkLocker
Bitdefender ha lanzado un descifrador para la cepa de ransomware ShrinkLocker, que utiliza la herramienta de cifrado de unidad BitLocker integrada en Windows para bloquear los archivos de la víctima.
Actualizacion-Vulnerabilidad RCE en la interfaz de administración en PAN-OS de Palo Alto Networks
Palo Alto publicó un aviso de seguridad el pasado 08/11/2024 debido a una vulnerabilidad alta detectada en la consola de configuración de PAN-OS. La severidad de esta vulnerabilidad ha ascendido a crítica tras detectarse la explotación activa de la misma y fue actualizado por el fabricante el 14/11/2024.
Archivos de Microsoft Visio utilizados en sofisticados ataques de phishing
Descubiertos por Perception Point, los nuevos ataques utilizan el formato .vsdx de Visio, un tipo de archivo comúnmente empleado para diagramas de negocios, para disfrazar URL maliciosas y eludir los escaneos de seguridad tradicionales.
Día de parches de seguridad de SAP
El 12 de noviembre de 2024, el SAP Security Patch Day vio la publicación de 8 nuevas notas de seguridad. Además, hubo 2 actualizaciones de las notas de seguridad publicadas anteriormente.
Datos de empleados de Amazon filtrados
Amazon ha confirmado que algunos datos de los empleados se vieron comprometidos como resultado de un hackeo de MOVEit el año pasado.
Actualización de seguridad de SAP de noviembre de 2024
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 8 notas de seguridad: 1 de severidad alta, 6 medias y 1 baja. También, se han actualizado 2 notas de seguridad: una alta y otra baja.
Múltiples vulnerabilidades en productos de Ivanti
Ivanti ha publicado 49 vulnerabilidades, de entre ellas 9 críticas y el resto repartidas entre altas y medias, que afectan a Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) e Ivanti Endpoint Manager (EPM). La explotación de estas vulnerabilidades podría derivar en una ejecución de código remoto RCE.
Actualizaciones de seguridad de Microsoft de noviembre de 2024
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 12 de noviembre, consta de 89 vulnerabilidades (con CVE asignado), calificadas 4 como críticas, 72 como altas y 13 medias.
IoCs - bug de Microsoft SharePoint RCE bug utilizado para vulnerar red corporativa
Los investigadores de Rapid7 investigaron recientemente la actividad no autorizada en una cuenta de servicio de Microsoft Exchange con privilegios de administrador de dominio.
Inyección de comandos en productos D-Link
El investigador de seguridad, Netsecfish, ha publicado una investigación aportando detalles sobre una vulnerabilidad crítica de inyección de comandos que afecta a más de 60.000 dispositivos NAS de D-Link que se encuentran ya sin soporte (EoS). Además, en dicha investigación, se incluye un exploit disponible públicamente.
Vulnerabilidad crítica de CyberPanel (CVE-2024-51378): cómo mantenerse protegido
VE-2024-51378 es una vulnerabilidad crítica con una puntuación CVSS de 9,8 en las versiones 2.3.6 y 2.3.7 de CyberPanel que permite la ejecución remota de código (RCE) sin autenticación.
HPE advierte de fallos críticos de RCE en los puntos de acceso de Aruba Networking
Hewlett Packard Enterprise (HPE) ha publicado actualizaciones para el software Instant AOS-8 y AOS-10 con el fin de abordar dos vulnerabilidades críticas en los puntos de acceso a redes de Aruba.
Nokia declara que el codigo filtrado en ataque pertenecia a terceros
La investigación de Nokia sobre las recientes denuncias de una violación de datos encontró que el código fuente filtrado en un foro de piratas informáticos pertenece a un tercero y que los datos de la empresa y los clientes no se han visto afectados.
Boletín de seguridad de Android: noviembre de 2024
El boletín de Android, relativo a noviembre de 2024, soluciona una vulnerabilidad de severidad crítica y múltiples altas que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una ejecución remota de código, una divulgación de información o una denegación de servicio.
Los estafadores utilizan la API de DocuSign para evadir los filtros de spam con facturas de phishing
Los estafadores están explotando las API de DocuSign para enviar facturas falsas realistas, principalmente dirigidas a software de seguridad como Norton. Esta técnica de phishing elude los filtros tradicionales de spam de correo electrónico al originarse en cuentas y plantillas legítimas de DocuSign, lo que dificulta la detección.
Empresas de todo el mundo atacadas en una campaña de phishing de ChatGPT version de pago
Barracuda ha observado una campaña de suplantacion de identidad de OpenAI a gran escala.
ChatGPT-4o se puede utilizar para estafas autónomas basadas en voz
Los investigadores han demostrado que es posible abusar de la API de voz en tiempo real de OpenAI para ChatGPT-4o, un chatbot avanzado de LLM, para realizar estafas financieras con tasas de éxito bajas a moderadas.
DEF CON 32 Going undercover to breach LockBit Ransomware Op- Jon DiMaggio
Delve into the clandestine world of the LockBit ransomware In this revealing presentation, I will recount my two-year journey spent infiltrating the inner ranks of the LockBit crime syndicate. Learn about the strategies employed to earn the trust of key individuals within the syndicate, including the gangs leader, LockBitSupp.
El gigante tecnológico taiwanés Foxconn anuncia la construcción en México de la mayor planta mundial para fabricar ‘superchips’ a Nvidia
Se trata de la mayor empresa de productos electrónicos del mundo que creará los superchips GB200 para la empresa estadounidense, diseñados para servidores de inteligencia artificial
Ataque contra Interbank en Peru
La víctima del momento es Interbank. Desde que DarkWebInformer publicó la noticia acerca de que kzoldyck estaba ofreciendo en venta 3.7TB de datos exfiltrados del banco, los ojos de todo Perú y de una parte muy importante de toda América Latina cayeron en el banco.
Múltiples vulnerabilidades en HPE Aruba Networking Access Points
Erik De Jong y zzcentury han reportado a HPE 6 nuevas vulnerabilidades, 2 de severidad crítica, 3 altas y 1 media. La explotación de estas vulnerabilidades podría provocar la ejecución de remota de código y el acceso sin autorización a determinados archivos.
Impresoras y MFP de Ricoh: vulnerabilidad de desbordamiento de búfer (CVE-2024-47939)
Ricoh ha identificado una vulnerabilidad de desbordamiento de búfer (CVE-2024-47939) al utilizar el Web Image Monitor que podría permitir un ataque de denegación de servicio (DoS) o de ejecución remota de código.
Atacantes utilizan phishing por infracción de derechos de autor para desplegar malware infostealers
Atacantes utilizan el señuelo de phishing por infracción de derechos de autor para desplegar ladrones de información
Abusos de phishing en Eventbrite
En una nueva campaña de phishing de Eventbrite, los actores de amenazas hacen un mal uso de los servicios de Eventbrite para robar información financiera o personal.
Mozilla: ChatGPT se puede manipular usando código hexadecimal
Una nueva técnica de inyección rápida podría permitir a cualquiera eludir las barreras de seguridad en el modelo de aprendizaje de idiomas (LLM) más avanzado de OpenAI.
IoCs de ClickFix malware en Wordpress
ClickFix malware se disfraza de plugins en WordPress - IoCs
Vulnhuntr: La IA autónoma encuentra las primeras vulnerabilidades de día 0 en GitHub
IA experimental detecta vulnerabilidades 0-day en proyectos de Python de GitHub
Operadores de ransomware Black Basta utilizan ingenieria social en Microsoft Teams para atacar organizaciones
El notorio grupo de ransomware conocido como "Black Basta" ha intensificado sus tácticas de ingeniería social para obtener acceso no autorizado a los sistemas y datos confidenciales de las organizaciones.
Delta demanda a CrowdStrike por el colapso de las operaciones de julio
La aerolínea alega negligencia grave por parte de una empresa de ciberseguridad; CrowdStrike dice que Delta está tratando de desviar la culpa por los sistemas obsoletos
Alerta en CFE, SAT y FGR: Falta de seguridad permite a hackers clonar correos oficiales
Ciberatacantes aprovechan la ausencia de DMARC en dominios de gobierno para enviar correos falsos
La banda RansomHub presuntamente está detrás del ataque a un operador aeroportuario mexicano
Un grupo de piratas informáticos recientemente destacado por agencias estadounidenses dijo que es responsable de un ataque dirigido a un operador de 13 aeropuertos en México.
Compilado anual de seguridad de CISCO
El 23 de octubre de 2024, Cisco publicó su publicación semestral Cisco ASA, FMC y FTD Software Security Advisory Bundled.
Avast lanza un descifrador gratuito para Mallox Ransomware
Avast ha lanzado un descifrador para el ransomware Mallox después de identificar una debilidad en su esquema criptográfico.
Piratas informáticos vinculados a Rusia atacan al gobierno y los puertos de Japón
Los piratas informáticos vinculados a Rusia han apuntado a Japón, luego de que aumentara los ejercicios militares con aliados regionales y el aumento de su presupuesto de defensa.
Microsoft crea sitios falsos de Azure para atraer a los phishers a los honeypots
Con los datos recopilados, Microsoft puede mapear la infraestructura maliciosa, obtener una comprensión más profunda de las operaciones sofisticadas de phishing, interrumpir las campañas a gran escala, identificar a los ciberdelincuentes y ralentizar significativamente su actividad.
Se distribuye malware wipers en mails de ESET a empresas de Israel, La empresa niega haber sido vulnerada
La firma de seguridad niega una evaluación de que sus sistemas fueron comprometidos en Israel por ciberatacantes propalestinos, pero reconoció un ataque a uno de sus socios.
Internet Archive vuelve a ser vulnerado a través de tokens de acceso robados
Desde anoche, BleepingComputer ha recibido numerosos mensajes de personas que recibieron respuestas a sus antiguas solicitudes de eliminación de Internet Archive, advirtiendo que la organización ha sido violada ya que no rotaron correctamente sus tokens de autenticación robados.
Falta autenticación en fgfmsd de FORTINET
Una autenticación faltante para una vulnerabilidad de función crítica [CWE-306] en el demonio fgfmd de FortiManager puede permitir que un atacante remoto no autenticado ejecute código arbitrario o comandos a través de solicitudes especialmente diseñadas.
Uso de credenciales por defecto en Kubernetes
Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, donde se habilitan las credenciales por defecto durante el proceso de creación de la imagen, lo que podría permitir obtener privilegios de root.
VMware corrige una falla de inyección SQL de alta gravedad en la plataforma HCX
VMware parchea CVE-2024-38814 y advierte que los atacantes con privilegios que no son de administrador pueden ejecutar código remoto en el administrador de HCX.
Ejecución de código remoto en SolarWinds Web Help Desk
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha notificado una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk y que de ser explotada podría permitir la ejecución de código remoto.
Actualizaciones críticas en Oracle (octubre 2024)
Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos
Splunk Enterprise Update parchea vulnerabilidades de RCE
Splunk ha lanzado parches para múltiples vulnerabilidades en Splunk Enterprise, incluidas dos fallas de ejecución remota de código de alta gravedad.
Verificación incorrecta de la firma criptográfica en GitHub Enterprise Server
GitHub Enterprise Server contiene una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante acceder sin autorización a datos de usuarios.
Robots aspiradores hackeados para espiar e insultar a los propietarios
Varios robots aspiradores en los EE. UU. fueron hackeados para gritar obscenidades e insultos a través de los altavoces a bordo.
El atacante Intel Broker afirma haber causado una importante violación de datos en Cisco
Intel Broker afirma haber sufrido una importante violación de datos en Cisco, supuestamente robando códigos fuente, documentos confidenciales y credenciales de empresas globales como Verizon, AT&T, Microsoft y más. Los datos ya están a la venta en los foros de infracción. Intel Broker, un hacker conocido por sus violaciones de datos de alto perfil, afirma haber violado al gigante tecnológico Cisco Systems
Microsoft comunica que perdió semanas de registros de seguridad para los productos en la nube de sus clientes
Microsoft ha notificado a los clientes que le faltan más de dos semanas de registros de seguridad para algunos de sus productos en la nube, lo que deja a los defensores de la red sin datos críticos para detectar posibles intrusiones.
Actores de amenazas usan ChatGPT para escribir malware
OpenAI ha interrumpido más de 20 operaciones cibernéticas maliciosas que abusan de ChatGPT para diversos fines, incluido el desarrollo de malware y ataques de spear-phishing.
Sitio de novias virtuales de IA vulnerado, fantasías en chat de usuarios robadas
Un pirata informático ha robado una base de datos masiva de las interacciones de los usuarios con los chatbots de sus parejas sexuales, según 404 Media.
Vulnerabilidad de seguridad corregida en Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
Un atacante pudo lograr la ejecución de código en el proceso de contenido mediante la explotación de un uso posterior a la liberación en las escalas de tiempo de animación. Hemos tenido informes de que esta vulnerabilidad se está explotando en la naturaleza.
Múltiples vulnerabilidades en Expedition conducen a la exposición de credenciales de firewall
Múltiples vulnerabilidades en Palo Alto Networks Expedition permiten a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios en ubicaciones de almacenamiento temporal en el sistema Expedition. Combinados, incluyen información como nombres de usuario, contraseñas de texto no cifrado, configuraciones de dispositivos y claves API de dispositivos de firewalls PAN-OS.
Actualización de seguridad disponible para Adobe Commerce
Adobe ha lanzado una actualización de seguridad para Adobe Commerce y Magento Open Source. Esta actualización resuelve vulnerabilidades críticas, importantes y moderadas.
Parches de octubre de 2024 de Microsoft corrige 5 días cero
Hoy es el martes de parches de octubre de 2024 de Microsoft, que incluye actualizaciones de seguridad para 118 fallas, incluidas cinco de día cero divulgadas públicamente, dos de las cuales se explotan activamente.
MoneyGram no hay evidencia de que el ransomware esté detrás del reciente ciberataque
La plataforma de pago MoneyGram dice que no hay evidencia de que el ransomware esté detrás de un reciente ataque cibernético que provocó una interrupción de cinco días en septiembre.
Boletín de seguridad de Qualcomm Technologies - octubre de 2024
Qualcomm ha publicado en su boletín de seguridad varias vulnerabilidades. Entre ellas, las que afectan a componentes del sistema se clasifican en: 1 de severidad crítica, 2 altas y 2 medias, que podrían permitir a un atacante ejecución remota de código.
Actualización de seguridad de SAP de octubre de 2024
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Apple lanza actualizaciones críticas de iOS y iPadOS para corregir la vulnerabilidad de la contraseña de VoiceOver
Apple ha lanzado actualizaciones de iOS y iPadOS para abordar dos problemas de seguridad, uno de los cuales podría haber permitido que las contraseñas de un usuario fueran leídas en voz alta por su tecnología de asistencia VoiceOver.
Un funcionario de la Casa Blanca dice que las compañías de seguros deben dejar de financiar los pagos de ransomware
Las compañías de seguros deben dejar de emitir pólizas que incentivan la realización de pagos de extorsión en ataques de ransomware, dijo el viernes un alto funcionario de la Casa Blanca.
MITRE lanza la iniciativa de intercambio de incidentes de IA
La colaboración con socios de la industria tiene como objetivo mejorar las defensas colectivas de la IA. Los colaboradores de confianza reciben datos protegidos y anónimos sobre incidentes de IA del mundo real.
Informes: China hackeó Verizon y AT&T, y podría haber accedido a los sistemas de escuchas telefónicas de EE.UU.
Piratas informáticos del gobierno chino penetraron en las redes de varios grandes proveedores de servicios de Internet con sede en Estados Unidos y podrían haber obtenido acceso a sistemas utilizados para escuchas telefónicas autorizadas por tribunales de redes de comunicaciones, informó el sábado The Wall Street Journal.
Vulnerabilidad RCE en Zimbra Collaboration Suite
El investigador lebr0nli (Alan Li) ha reportado una vulnerabilidad de severidad crítica que afecta a Zimbra Collaboration Suite (ZCS), y cuya explotación podría permitir la ejecución remota de código por parte de un atacante.
Ejecución de comandos en Cisco Nexus Dashboard Fabric Controller
Cisco ha publicado una vulnerabilidad crítica que afecta a su producto Cisco Nexus Dashboard Fabric Controller (NDFC), cuya explotación podría permitir la ejecución de comandos con privilegios de administrador de red.
Los hackers de FIN7 lanzan sitios "generadores" de desnudos deepfake para propagar malware
El notorio grupo de piratas informáticos APT conocido como FIN7 ha lanzado una red de sitios falsos generadores de deepnude impulsados por IA para infectar a los visitantes con malware que roba información.
Múltiples vulnerabilidades en productos HPE
HPE ha publicado un boletín de seguridad para 12 nuevas vulnerabilidades, 1 crítica, 4 altas, 5 medias y 2 bajas. La explotación de estas vulnerabilidades podría provocar la denegación del servicio (DoS) o la perdida de la confidencialidad entre otros.
Código de IA no puede dejar de alucinar nombres de paquetes.
Investigadores de la Universidad de Texas en San Antonio, la Universidad de Oklahoma y Virginia Tech analizaron recientemente 16 LLM utilizados para la generación de código para explorar su inclinación por inventar nombres de paquetes.
Deserialización insegura en Veeam Backup and Replication: CVE-2024-40711
Veeam Backup & Replication es una aplicación de backup propietaria desarrollada por Veeam para entornos virtuales basados en hipervisores VMware vSphere, Nutanix AHV y Microsoft Hyper-V.
Una falla crítica en NVIDIA Container Toolkit permite la toma de control del host de IA
Una vulnerabilidad crítica en NVIDIA Container Toolkit afecta a todas las aplicaciones de IA en un entorno local o en la nube que dependen de él para acceder a los recursos de la GPU.
Múltiples vulnerabilidades en WhatsUp Gold de Progress Community
El equipo de WhatsUp Gold ha identificado 6 vulnerabilidades: 2 de severidad crítica y 4 altas, que podrían permitir el acceso y el control no autorizados de la infraestructura de la red.
Nueva modalidad de Captcha malicioso - IoCs.
Los equipos de respuesta a incidentes de Secureworks identificaron que los usuarios eran redirigidos a sitios web maliciosos después de buscar servicios de transmisión de video en Google.
Compilado de IoCs ransomware Akira.
Akira es una cepa de ransomware que Microsoft Threat Intelligence detectó por primera vez en marzo de 2023. El análisis de Akira revela características comunes observadas en otras cepas de ransomware, como el uso del algoritmo de cifrado ChaCha, PowerShell y Windows Management Instrumentation (WMI).
Múltiples vulnerabilidades en OpenPrinting CUPS
El investigador, Simone EvilSocket Margaritelli, ha publicado un artículo en el que describe 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que afectan a OpenPrinting CUPS (Common UNIX Printing System), un sistema de impresión de código abierto presente en la mayoría de las distribuciones Linux actuales.
HPE Aruba Networking Access Points Multiple Vulnerabilities
Múltiples vulnerabilidades de los puntos de acceso de red HPE Aruba
Infranus, nuevo troyano bancario en México. IoCs.
Este código malicioso comenzó a aparecer a partir de fin de Octubre del 2023, pero ha tenido un incremento en su actividad a partir de Junio del 2024 hasta fin de Agosto del 2024.
Telegram compartirá las direcciones IP y los números de teléfono de los sospechosos de delitos con la policía
Telegram comenzará a entregar las direcciones IP y los números de teléfono de los usuarios que violen sus Términos de servicio "a las autoridades pertinentes en respuesta a solicitudes legales válidas", anunció el lunes el fundador y CEO de Telegram, Pavel Durov.
Kaspersky se retira de EE.UU. y reemplaza automáticamente el software con UltraAV
El proveedor de antivirus Kaspersky ha comenzado formalmente a retirar sus ofertas en Estados Unidos, migrando a los usuarios existentes a UltraAV, a partir del 19 de septiembre de 2024, antes de su salida formal a finales de mes.
Crystal Rans0m, nuevo ransomware hibrido IoCs
Crystal Rans0m es una familia de ransomware híbrido recién descubierta escrita en Rust, observada por primera vez el 2 de septiembre de 2023. Este malware destaca por su doble funcionalidad: no solo encripta los archivos de las víctimas y exige un rescate, sino que también roba datos confidenciales, lo que da más ventaja a los atacantes. Este enfoque dual, denominado "ladrón como ransomware" por los investigadores, permite a los atacantes monetizar tanto el cifrado como los datos robados, lo que lo convierte en una grave amenaza.
Un hacker afirma una violación de datos en DELL, Filtra más de 10.000 datos de empleados
Un hacker afirma que Dell sufrió una violación "menor", exponiendo más de 10.000 registros de empleados.
Acceso no autorizado en Ivanti CSA
Ivanti ha informado de una vulnerabilidad crítica, cuya explotación podría permitir a un usuario remoto autenticarse para acceder a funcionalidades restringidas y ejecutar comandos arbitrarios.
Exploit crítico en chipsets Wi-Fi de MediaTek
El equipo de investigación de amenazas de SonicWall Capture Labs se dio cuenta de la amenaza CVE-2024-20017, evaluó su impacto y desarrolló medidas de mitigación para la vulnerabilidad.
Inteligente campaña de GitHub Scanner que abusa de los repositorios para impulsar malware
Una inteligente campaña de amenazas está abusando de los repositorios de GitHub para distribuir el malware de robo de contraseñas Lumma Stealer, dirigido a los usuarios que frecuentan un repositorio de proyectos de código abierto o están suscritos a notificaciones por correo electrónico de él.
La empresa de seguridad rusa Dr.Web desconecta todos los servidores tras ataque.
El martes, la compañía rusa de antimalware Doctor Web reveló una brecha de seguridad después de que sus sistemas fueran blanco de un ataque cibernético durante el fin de semana.
Chrome 129 corrige una vulnerabilidad en el motor V8
Google ha lanzado Chrome 129 con parches para nueve vulnerabilidades, incluido un error de alta gravedad en el motor V8.
Fortinet sufre una violación de datos de terceros que afecta a los clientes de Asia-Pacífico
Fortinet, detrás de Palo Alto y CrowdStrike, es la tercera firma de seguridad cibernética más grande, con una valoración de 60.000 millones de dólares.
Operación cibernética israelí masiva: miembros de Hezbollah heridos por la explosión de buscapersonas
Una operación cibernética a gran escala presuntamente llevada a cabo por Israel ha provocado la explosión de varios dispositivos de comunicación, descritos como "buscapersonas", transportados por miembros de Hezbollah en varias regiones del Líbano.
Nuevo esquema de phishing basado en el hartazgo.
Una investigación recientemente publicada ha revelado cómo los actores de amenazas están utilizando una nueva técnica tortuosa para obligar a los usuarios del navegador Chrome a revelar las contraseñas de sus cuentas de Google por pura frustración.
Ivanti lanza actualizaciones de seguridad para Endpoint Manager, Cloud Service Application y Workspace Control
Ivanti ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades en Ivanti Endpoint Manager, Cloud Service Application 4.6 y Workspace Control. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Adobe corrige el día cero de Acrobat Reader
Un investigador de ciberseguridad está instando a los usuarios a actualizar Adobe Acrobat Reader después de que ayer se lanzara una solución para una ejecución remota de código de día cero con un exploit público de prueba de concepto en la naturaleza.
GitLab corrige una falla que permite la ejecución no autorizada de trabajos de canalización
GitLab lanzó el miércoles actualizaciones de seguridad para abordar 17 vulnerabilidades de seguridad, incluida una falla crítica que permite a un atacante ejecutar trabajos de canalización como un usuario arbitrario.
Vulnerabilidad RCE en SolarWinds Access Rights Manager
Piotr Bazydlo (@chudypb), investigador de Trend Micro ZDI, ha reportado una vulnerabilidad crítica detectada en Access Rights Manager (ARM) de SolarWinds.
Múltiples vulnerabilidades en productos VMware
Los investigadores zbl y srs, del equipo TZL, en colaboración con el concurso 2024 Matrix Cup, han reportado 2 vulnerabilidades, una crítica y otra alta, que afectan a productos de VMware, cuya explotación podría permitir realizar un desbordamiento de búfer o escalar privlegios.
El hacker del USDoD detrás de la filtración de US$3.000 millones del SSN se revela como ciudadano brasileño
Hacker USDoD, vinculado a importantes violaciones de datos, revela su identidad como ciudadano brasileño. Descubra las implicaciones y cómo el tratado de extradición de Brasil con los EE. UU. puede afectar su futuro.
Se abusa de los comentarios de GitHub para impulsar malware que roba contraseñas enmascarado como correcciones
Se está abusando de GitHub para distribuir el malware de robo de información Lumma Stealer como correcciones falsas publicadas en los comentarios del proyecto.
Múltiples vulnerabilidades en productos de D-Link
Varios productos de D-Link han llegado a su fin de vida y fin de servicio. En unos nuevos boletines de seguridad, D-Link ha publicado 8 vulnerabilidades, 4 de ellas críticas y las demás altas.
Boletín de seguridad de Android: septiembre de 2024
El boletín de Android, relativo a septiembre de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.
Cisco advierte sobre puerta trasera en Smart Licensing Utility
Cisco ha eliminado una cuenta de puerta trasera en Cisco Smart Licensing Utility (CSLU) que se puede utilizar para iniciar sesión en sistemas sin parches con privilegios administrativos.
Zyxel advierte de un fallo crítico de inyección de comandos del sistema operativo en los routers
Zyxel ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad crítica que afecta a múltiples modelos de sus routers empresariales, lo que podría permitir a los atacantes no autenticados realizar la inyección de comandos del sistema operativo.
hacktivistas piden la liberación del fundador de Telegram con #FreeDurov campaña DDoS
En las últimas semanas, ha surgido una nueva campaña hacktivista para exigir la liberación del CEO de Telegram, Pavel Durov, tras su arresto por parte de las autoridades francesas.
Piratas informáticos inyectan JS malicioso en la tienda de Cisco para robar tarjetas de crédito y credenciales
El sitio de Cisco para vender productos con temas de la compañía está actualmente fuera de línea y en mantenimiento debido a que los piratas informáticos lo comprometieron con código JavaScript que roba detalles confidenciales de los clientes proporcionados al finalizar la compra.
Múltiples vulnerabilidades en productos de Cisco
Cisco ha publicado 6 nuevas vulnerabilidades, de las cuales 2 son críticas, otra alta y las demás medias. La explotación de estas vulnerabilidades podría permitir la escalada de privilegios, el acceso a la información sin autorización o la inyección de código.
Múltiples vulnerabilidades en HP-UX Secure Shell de HPE
HPE ha publicado un boletín de seguridad con 10 nuevas vulnerabilidades, 2 de ellas críticas, 2 altas y el resto medias. La explotación de estas vulnerabilidades podría provocar la evasión de restricciones de acceso, ejecución arbitraria de comandos, modificación arbitraria de archivos o evasión de autenticación, entre otros.
Inyección de comandos en productos de Progress Kemp
Florian Grunow, investigador de ERNW, ha reportado una vulnerabilidad de severidad crítica que afecta a varios productos de Progress Kemp, cuya explotación podría permitir a un atacante inyectar comandos del sistema operativo.
AVIS reconoce filtracion de datos de usuarios
El gigante estadounidense de alquiler de automóviles Avis notificó a los clientes que atacantes desconocidos violaron una de sus aplicaciones comerciales el mes pasado y robaron parte de su información personal.
Parche para progress para vulnerabilidades en LoadMaster y MT Hypervisor
Progress Software ha lanzado actualizaciones de seguridad para una falla de máxima gravedad en el hipervisor LoadMaster y Multi-Tenant (MT) que podría resultar en la ejecución de comandos arbitrarios del sistema operativo.
Coleccion de IoCs de Troyanos bancarios de LATAM
América Latina está experimentando un aumento en los sofisticados ataques de phishing dirigidos a los sistemas financieros, con el resurgimiento de troyanos bancarios como Mekotio, BBTok y Grandoreiro.
SiegedSec se retira temporalmente del panorama activo del cibercrimen y lanza sitio de educacion para hackers
SiegedSec se retira temporalmente del panorama activo del cibercrimen y lanza sitio didáctico de recursos para hackers (link original sanitizado con corchetes)
Anonymous reactiva campaña Viva Venezuela
El grupo Anonymous reactiva campaña Viva Venezuela contra el dictador Maduro en respuesta a los resultados de las ultimas elecciones.
Google advierte de un fallo de seguridad de Chrome CVE-2024-7965 que se está explotando activamente
Google ha revelado que una falla de seguridad que fue parcheada como parte de una actualización de software implementada la semana pasada en su navegador Chrome ha sido objeto de una explotación activa en la naturaleza.
Cisco parchea una vulnerabilidad de alta gravedad reportada por la NSA
Una vulnerabilidad de alta gravedad en Cisco Unified CM y Unified CM SME podría permitir a los atacantes causar una condición de denegación de servicio (DoS).
GitHub Enterprise Server vulnerable a una falla crítica de omisión de autenticación
Una vulnerabilidad crítica que afecta a varias versiones de GitHub Enterprise Server podría aprovecharse para eludir la autenticación y permitir que un atacante obtenga privilegios de administrador en la máquina.
Individuo piratea registro de defunciones del estado para fingir su propia muerte y evitar pagar sus obligaciones de manutención infantil.
Un hombre de Somerset, Kentucky, Jesse Kipf, de 39 años, fue sentenciado a 81 meses el lunes por el juez federal de distrito Robert Wier, por fraude informático y robo de identidad agravado.
Toma de control de cuentas locales de Cisco Smart Software Manager
Vulnerabilidad de apropiación de cuentas en Smart Software Manager (SSM) de Cisco
Nuevo tratado de la ONU sobre ciberdelincuencia podría amenazar los derechos humanos
Las lagunas en el tratado de las Naciones Unidas recientemente adoptado podría conducir a una vigilancia digital invasiva, advierten expertos en derechos humanos
novedoso malware infostealer, denominado Ailurophile Stealer basado en PHP
El malware tiene diferentes componentes para varias funcionalidades como la terminación de procesos, la recopilación de datos y la entrega opcional de carga útil con la capacidad de desactivación de Windows Defender.
SolarWinds corrige un error crítico de RCE que afectaba a todas las versiones de Web Help Desk
Una vulnerabilidad crítica en la solución Web Help Desk de SolarWinds para soporte al cliente podría ser explotada para lograr la ejecución remota de código, advierte el desarrollador de software empresarial estadounidense en un aviso de seguridad.
F5 corrige vulnerabilidades de alta gravedad en BIG-IP, NGINX Plus
La última notificación trimestral de seguridad de F5 incluye nueve avisos, incluidos cuatro para vulnerabilidades de alta gravedad en BIG-IP y NGINX Plus.
Vulnerabilidad de ejecución remota de código TCP/IP en IPv6
Un atacante no autenticado podría enviar repetidamente paquetes IPv6, que incluyen paquetes especialmente diseñados, a una máquina Windows que podría permitir la ejecución remota de código.
Actualización de seguridad de SAP de agosto de 2024
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que afectan a sus productos Virtual Traffic Manager y Neurons para ITSM. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, divulgar información sensible o realizar un ataque MitM.
Actualizaciones de seguridad de Microsoft de agosto de 2024
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 13 de agosto, consta de 90 vulnerabilidades (con CVE asignado), calificadas 7 como críticas, 65 como importantes y 18 moderadas.
Atacantes tomaron el control de un robot ordeñador de vacas causando la muerte de ganado
Los ladrones tomaron el control de un robot ordeñador de vacas y exigieron un rescate a un granjero que se negó a pagarlo, lo que resultó en la muerte de ganado.
Una de las características antiphishing de Microsoft 365 se puede omitir con CSS
En concreto, la medida antiphishing que se puede ocultar es el "Consejo de seguridad en el primer contacto", que advierte a los destinatarios de correo electrónico en Outlook cuando reciben un mensaje de una dirección desconocida.
Boletín de seguridad de Android: agosto de 2024
El boletín de Android, relativo a agosto de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una ejecución remota de código.
332 millones de direcciones de correo electrónico extraídas de SOCRadar.io publicadas en línea
El archivo CSV de 14 GB, que contiene solo las direcciones de correo electrónico y sin contraseñas, se analizó a partir de registros de ladrones y listas combinadas, que generalmente contienen datos recopilados a través de infecciones de malware y agregados de varias violaciones de datos.
RDGAS: El Próximo Capítulo en Algoritmos de Generación de Dominios
Los investigadores de Infoblox publicaron un informe que profundiza en la técnica emergente de los algoritmos de generación de dominios registrados (RDGA), que los actores de amenazas están utilizando para remodelar el panorama de amenazas de DNS con millones de nuevos dominios. El informe analiza más a fondo Revolver Rabbit, un notable actor de amenazas que ha aprovechado los RDGA en su implementación de Xloader.
Anonymous ha eliminado más de 325 sitios web del gobierno venezolano
más del 75% de ellos están actualmente fuera de servicio
Hackers vulneran sistema de Tribunal Superior de Justicia de CDMX
Hackers vulneran sistema de Tribunal Superior de Justicia de CDMX
operadores de ransomware explotan la vulnerabilidad del hipervisor ESXi para el cifrado masivo
La vulnerabilidad, identificada como CVE-2024-37085, involucra a un grupo de dominio a cuyos miembros se les otorga acceso administrativo completo al hipervisor ESXi de forma predeterminada sin la validación adecuada.
Múltiples vulnerabilidades 0day en productos de Apple
Apple ha informado sobre varias vulnerabilidades, alguna de tipo 0day, que podrían determinar la distribución de la memoria del núcleo, provocar un apagado inesperado del sistema, un bloqueo inesperado del proceso, un ataque de secuencias de comandos entre sitios o acceder a las pestañas de navegación privada sin autenticación, entre otras acciones.
Falta de configuracion de correos elude a Proofpoint Security en una campaña de phishing
Los ciberdelincuentes explotaron una falta de configuración modificable que permitía retransmitir mensajes salientes desde Microsoft Office 365.
Ejecución de código arbitrario en Acronis Cyber Infrastructure
Acronis ha publicado una vulnerabilidad de severidad crítica que está siendo explotada activamente y podría provocar una ejecución de código arbitrario.
Desaparecen de CompraNet 2 millones de contratos de 2012 a 2023
La plataforma CompraNet, en donde se realizan y publican las compras y contrataciones del Gobierno Federal, ha eliminado todos los documentos de las asignaciones realizadas entre 2012 y 2023, que suman un total de 4.7 billones de pesos entregados mediante cerca de 2 millones de contratos.
Los anuncios de Google difunden un sitio falso de Google Authenticator que instala malware
Google ha sido víctima de su propia plataforma publicitaria, lo que permite a los actores de amenazas crear anuncios falsos de Google Authenticator que impulsan el malware DeerStealer que roba información.
Envío de archivos potencialmente maliciosos en Exim MTA
Censys ha publicado un aviso en el que informa de una vulnerabilidad crítica que afecta a Exim MTA (agente de transferencia de correo), cuya explotación podría permitir a un atacante remoto enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.
Atacantes robaron registros de llamadas y mensajes de texto de clientes celulares de AT&T
Los piratas informáticos que aprovechan las credenciales robadas de las cuentas de Snowflake han robado registros de llamadas y mensajes de texto realizados por "casi todos" los clientes celulares de AT&T de mayo a octubre de 2022, confirmó la compañía.
Actualizaciones críticas en Oracle (julio 2024)
Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.
Las direcciones de correo electrónico de 15 millones de usuarios de Trello se filtraron en un foro
Un actor de amenazas ha liberado más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que se recopilaron mediante una API no segura en enero.
Cisco corrige error de SSM On-Prem que permite a los atacantes cambiar la contraseña de cualquier usuario
Cisco ha corregido una vulnerabilidad de gravedad máxima que permite a los atacantes cambiar la contraseña de cualquier usuario en los servidores de licencias vulnerables de Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem), incluidos los administradores.
Múltiples vulnerabilidades en productos Solar Winds
Solarwinds ha publicado 13 vulnerabilidades: 8 de ellas críticas y 5 altas. La explotación de estas vulnerabilidades podría permitir la fuga de información, la ejecución de código y la escalada de privilegios.
Cómo funcionan las estafas de phishing de criptomonedas?
Las estafas de phishing de Cryptodrainer se han convertido en una amenaza importante, ya que se dirigen a personas desprevenidas a través de tácticas engañosas para robar sus activos digitales.
La fuga de datos del foro de piratería BreachForums v1 expone la información de los miembros
La información privada de los miembros del foro de piratería BreachForums v1 de 2022 se ha filtrado en línea, lo que permite a los actores de amenazas e investigadores obtener información sobre sus usuarios.
Divulgación de información en productos Check Point Software de Technologies
Check Point Software Technologies ha publicado un aviso de seguridad que contiene información sobre una vulnerabilidad que afecta a varios de sus productos y que podría exponer información sensible.
Múltiples vulnerabilidades en Endpoint Manager para Mobile de Ivanti
Ivanti ha publicado 4 vulnerabilidades: 1 de severidad crítica, 2 altas y una media. La explotación de estas vulnerabilidades podría permitir fuga de información, acceso a recursos y ejecución de código.
Actualización de contenido de Crowdstrike-Falcon para hosts de Windows
Actualización de la configuración de contenido que afecta al sensor Falcon y al sistema operativo Windows (BSOD)
El error regreSSHion
Una vulnerabilidad de ejecución remota de código (RCE) no autenticada en el servidor de OpenSSH (sshd) en sistemas Linux basados en glibc.
Vulnerabilidad de autenticación inadecuada en Progress MOVEit Transfer
Progress ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación del producto afectado.
Vulnerabilidad de inyección SQL en FileCatalyst Workflow
Tenable Research ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante modificar los datos de la aplicación.
LockBit mintió: los datos robados provienen de un banco, no de la Reserva Federal de EE. UU.
El grupo de ransomware LockBit, recientemente interrumpido, en un intento desesperado por regresar, afirmó esta semana que había atacado a la Reserva Federal, el banco central de los Estados Unidos.
Plugins comprometidos encontrados en WordPress.org
Un actor de amenazas desconocido ha comprometido cinco complementos de WordPress y les ha inyectado un código que crea una nueva cuenta de administrador, lo que les permite un control completo sobre las instalaciones / sitios web de WordPress.
Apple parchea la vulnerabilidad Bluetooth de los AirPods que podría permitir el espionaje
Apple ha lanzado una actualización de firmware para los AirPods que podría permitir que un actor malintencionado obtenga acceso a los auriculares de manera no autorizada.
¿Por qué los actores de amenazas fingen violaciones de datos?
A principios de este año, Europcar descubrió a un hacker que vendía información sobre sus 50 millones de clientes en la web oscura. La empresa europea de alquiler de coches inició inmediatamente una investigación, sólo para descubrir que los datos que se vendían estaban completamente manipulados, posiblemente utilizando IA generativa.
Un actor de amenazas afirma vender una base de datos de 5 TB de Rappi, RappiCarga y RappiPay en varios países
Un actor de amenazas afirma estar vendiendo las bases de datos de Rappi, RappiCarga y RappiPay, afectando a usuarios de Colombia, Perú, México, Brasil y Chile. Según el actor de amenazas, los datos completos ascienden a más de 5 TB.
La red corporativa de TeamViewer fue violada en un presunto hackeo de APT
La compañía de software de acceso remoto TeamViewer advierte que su entorno corporativo fue violado en un ataque cibernético ayer, con una firma de ciberseguridad afirmando que fue por un grupo de piratas informáticos APT.
Detienen en España a dos implicados en un centenar de ciberataques, que incluyen al Poder Judicial de Tlaxcala
La Guardia Civil española, en colaboración con el FBI estadounidense, detuvo a dos personas acusadas de realizar al menos un centenar de ciberataques contra administraciones públicas y empresas privadas de países como España, México, Argentina, Honduras y Perú.
El troyano bancario Mekotio amenaza los sistemas financieros de LATAM
El troyano bancario Mekotio, activo desde 2015, se dirige principalmente a los países latinoamericanos para robar credenciales bancarias confidenciales a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Tras la ejecución, recopila información del sistema, se conecta a un servidor de comando y control, realiza el robo de credenciales, la recopilación de información y emplea mecanismos de persistencia. Los datos robados se devuelven al servidor para actividades fraudulentas. Los usuarios y las organizaciones deben seguir las mejores prácticas de seguridad para mitigar esta amenaza.
YouTube se convierte en el último frente de batalla contra el phishing y los deepfakes
Los correos electrónicos de phishing personalizados con oportunidades de colaboración falsas y descripciones de video comprometidas que se vinculan con malware son solo algunos de los nuevos trucos.
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha reportado en su último boletín de seguridad 16 vulnerabilidades, de las cuales 6 son de severidad crítica y 10 de severidad alta. No hay constancia que ninguna de las vulnerabilidades esté siendo explotada.
Veeam advierte de un error crítico de omisión de autenticación de Backup Enterprise Manager
Veeam ha advertido hoy a sus clientes que parcheen una vulnerabilidad de seguridad crítica que permite a los atacantes no autenticados iniciar sesión en cualquier cuenta a través de Veeam Backup Enterprise Manager (VBEM).
GitHub advierte sobre una falla de omisión de autenticación SAML en Enterprise Server
GitHub ha corregido una vulnerabilidad de omisión de autenticación de gravedad máxima (puntuación CVSS v4: 10.0) rastreada como CVE-2024-4985, que afecta a las instancias de GitHub Enterprise Server (GHES) que utilizan la autenticación de inicio de sesión único (SSO) de SAML.
Los estafadores falsifican plantillas de Docusign para chantajear y robar a las empresas
Los ciberdelincuentes trafican con activos de Docusign que permiten una fácil extorsión y compromiso del correo electrónico empresarial.
Google corrige el tercer día cero de Chrome explotado activamente en una semana
Google ha lanzado una nueva actualización de seguridad de emergencia de Chrome para abordar la tercera vulnerabilidad de día cero explotada en ataques en una semana.
FBI incauta el foro de hackeo BreachForums por segunda vez
La incautación se produjo el miércoles por la mañana, poco después de que el sitio fuera utilizado la semana pasada para filtrar datos robados de un portal de aplicación de la ley de Europol.
Adobe corrige fallas críticas en Reader y Acrobat
Adobe documenta múltiples fallos de ejecución de código en una amplia gama de productos, incluidos los programas Adobe Acrobat y Reader, ampliamente utilizados.
Problemas de actualizacion en NVD
Desde su creación, tres factores clave han afectado la capacidad de NVD para clasificar los problemas de seguridad, y lo que estamos experimentando ahora es el resultado.
Publican codigo robado de CFE (CFEfectiva DOWNLOAD)
publican codigo robado de CFE (CFEfectiva)
VMware corrige tres errores de día cero explotados en Pwn2Own 2024
VMware corrigió cuatro vulnerabilidades de seguridad en los hipervisores de escritorio Workstation y Fusion, incluidos tres días cero explotados durante el concurso de piratería Pwn2Own Vancouver 2024.
Múltiples vulnerabilidades en productos Apple
Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante acceder a información sensible, acceder a la sesión de otro usuario o ejecutar código arbitrario, ejecutar código arbitrario en el kernel, entre otras acciones.
Múltiples vulnerabilidades en Simple PHP Shopping Cart
INCIBE ha coordinado la publicación de 9 vulnerabilidades: 5 de severidad crítica y 4 medias, que afectan a Asaancart Simple PHP Shopping Cart, versión 0.9, una solución de carrito de la compra especialmente desarrollada para pequeñas y medianas empresas, las cuales han sido descubiertas por Rafael Pedrero.
Europol confirma la violación de un portal web y dice que no se han robado datos operativos
Europol, la agencia de aplicación de la ley de la Unión Europea, confirmó que su portal de la Plataforma Europol para Expertos (EPE) fue violado y ahora está investigando el incidente después de que un actor de amenazas afirmara que robó documentos de uso oficial (FOUO) que contenían datos clasificados.
Google corrige 5to día cero de Chrome explotado en ataques este año
Google ha lanzado una actualización de seguridad para el navegador Chrome para corregir la quinta vulnerabilidad de día cero explotada en la naturaleza desde principios de año.
El ataque GhostStripe acecha a los coches autónomos haciéndoles ignorar las señales de tráfico
Seis expertos, en su mayoría procedentes de universidades con sede en Singapur, dicen que pueden demostrar que es posible interferir con los vehículos autónomos explotando la dependencia de las máquinas de la visión por ordenador basada en cámaras y hacer que no reconozcan las señales de tráfico.
Advierten posibles hackeos al Banco del Bienestar
De acuerdo con un analista en seguridad informática, existe un riesgo elevado de información comprometida y hasta de transferencias ilícitas
Se abusa de la API de Dell para robar 49 millones de registros de clientes en una filtración de datos
El actor de amenazas detrás de la reciente violación de datos de Dell reveló que extrajeron información de 49 millones de registros de clientes utilizando una API de portal de socios a la que accedieron como una empresa falsa.
EE.UU. acusa a un hombre ruso de ser el jefe del grupo de ransomware LockBit
Estados Unidos se unió hoy al Reino Unido y Australia para sancionar al ciudadano ruso de 31 años Dmitry Yuryevich Khoroshev como presunto líder del infame grupo de ransomware LockBit. El Departamento de Justicia de EE.UU. también acusó a Khoroshev y lo acusó de usar Lockbit para atacar a más de 2.000 víctimas y extorsionar al menos 100 millones de dólares en pagos de ransomware.
Boletín de seguridad de Android: mayo de 2024
El boletín de Android, relativo a mayo de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar escalada de privilegios o divulgación de información.
El ransomware aumenta a pesar de las eliminaciones, según un informe de Corvus
Nuevas bandas de ransomware ya han llenado el vacío dejado por LockBit y ALPHV/BlackCat en el primer trimestre de 2024, según un nuevo informe de Corvus Insurance.
El gobierno de EE.UU. advierte de que los hacktivistas prorrusos atacan las instalaciones de agua
El gobierno de Estados Unidos advierte que los hacktivistas prorrusos están buscando y hackeando sistemas de tecnología operativa (OT) no seguros utilizados para interrumpir las operaciones de infraestructura crítica.
Hacker finlandés es encarcelado por acceder a miles de registros de psicoterapia y exigir rescates
En febrero de 2023, la policía francesa detuvo al conocido hacker finlandés Aleksanteri Kivimäki, que vivía bajo una identidad falsa cerca de París. Fue deportado a Finlandia. Su juicio terminó el mes pasado.
Los atacantes plantaron millones de repositorios sin imágenes en Docker Hub
Los supuestos metadatos de cada uno de estos contenedores tenían enlaces incrustados a archivos maliciosos.
Se ha restablecido la neutralidad de la red en USA
La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) votó hoy a favor de restablecer un estándar nacional para garantizar que Internet sea rápido, abierto y justo. La decisión de hoy de reclasificar el servicio de banda ancha como un servicio de telecomunicaciones del Título II permite a la FCC proteger a los consumidores, defender la seguridad nacional y promover la seguridad pública.
Múltiples vulnerabilidades en ArubaOS de HPE Aruba
HPE ha publicado 10 vulnerabilidades: 4 de severidad crítica y 6 medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).
RansomHub se adjudica secuestro de datos de más de 37 mil usuarios de la UNAM
El grupo de ransomware añadió a la UNAM en su listado de más de 50 víctimas de secuestro de datos y extorsión
Hackeo en Coppel
Coppel confirmó que el funcionamiento de sus sistemas se vio afectado por un “incidente de ciberseguridad”.
Ciber-atacantes de origen iraní afirman: "Violetamos los radares en Israel"
Handala es conocida por atacar los intereses israelíes. En el pasado, ha realizado ataques cibernéticos a sitios web gubernamentales y del sector privado.
El gigante fabricante de chips Nexperia confirma un ciberataque en medio de afirmaciones de un grupo de ransomware
El gigante mundial fabricante de chips Nexperia ha revelado que sufrió un ciberataque en medio de informes de que piratas informáticos de ransomware robaron documentos confidenciales y propiedad intelectual de la empresa.
Se reaviva la esperanza en el Tratado de la ONU contra la ciberdelincuencia a medida que se reanudan las negociaciones
Propuesta inicialmente por Rusia a la ONU en 2017, la Convención Internacional Integral para Contrarrestar el Uso de Tecnologías de la Información y las Comunicaciones con Fines Delictivos (comúnmente conocida como Tratado sobre Delitos Cibernéticos) está diseñada para crear un marco legal acordado globalmente para combatir el fraude y las estafas en línea. y acoso.
Vulnerabilidad de inyección de comandos en Palo Alto Networks PAN-OS
Se ha identificado una vulnerabilidad crítica en PAN-OS, el software que ejecuta todos los firewalls de nueva generación de Palo Alto Networks.
El intento de LockBit de mantenerse relevante, sus impostores y nuevos grupos oportunistas de ransomware
El Centro de Investigación Avanzada Trellix ha observado recientemente un aumento de la actividad cibernética relacionada con LockBit en torno a las vulnerabilidades en ScreenConnect.
Avalanche 6.4.3 Reforzamiento de la seguridad y CVE abordados
Avalanche 6.4.3 ha solucionado algunos nuevos refuerzos de seguridad y vulnerabilidades en nuestra versión del primer trimestre de 2024. No tenemos conocimiento de ninguna explotación de estas vulnerabilidades en el momento de la divulgación.
Actualizaciones críticas en Oracle (abril 2024)
Esta actualización resuelve 441 vulnerabilidades, algunas de las cuales son críticas.
Múltiples vulnerabilidades en productos de Fortinet
CataLpa de Dbappsecurity Co. Ltd y Tomas Kabrt, han reportado 3 vulnerabilidades, una de severidad crítica y dos de severidad alta, cuya explotación podría permitir a un atacante ejecutar código arbitrario.
La falla crítica de Rust permite ataques de inyección de comandos de Windows
Los actores de amenazas pueden aprovechar una vulnerabilidad de seguridad en la biblioteca estándar de Rust para atacar sistemas Windows en ataques de inyección de comandos.
La nueva campaña de Horabot apunta a las Américas
Cisco Talos ha observado a un actor de amenazas implementando un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un conocido troyano bancario y una herramienta de spam en las máquinas víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020.
IoCs de Horabot
URLs, dominios e IPs , Indicadores de Compromiso de Horabot
Phishing: dominios suspendidos revelan carga útil maliciosa para la región de América Latina
Recientemente, observamos una campaña de phishing dirigida a la región de América Latina. El correo electrónico de phishing contenía un archivo adjunto ZIP que, cuando se extrae, revela un archivo HTML que conduce a la descarga de un archivo malicioso que se hace pasar por una factura.
Microsoft corrige 149 fallas en el enorme lanzamiento del parche de abril, incluidos los días cero
Microsoft ha publicado actualizaciones de seguridad para el mes de abril de 2024 para corregir un récord de 149 fallas , dos de las cuales han sido explotadas activamente.
Ejecución de código remoto en PCOMM de IBM
IBM ha publicado una vulnerabilidad de severidad crítica en su servicio PCOMM que podría permitir a un atacante con pocos privilegios moverse lateralmente a los sistemas afectados y aumentar sus privilegios.
Múltiples vulnerabilidades en HTTP/2 CONTINUATION Flood
El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.
Campaña masiva de phishing golpea a América Latina: Venom RAT apunta a múltiples sectores
El actor de amenazas conocido como TA558 se ha atribuido a una nueva campaña masiva de phishing que se dirige a una amplia gama de sectores en América Latina con el objetivo de implementar Venom RAT.
Back door en paquete de Linux
Se encontró que el paquete xz, a partir de la versión 5.6.0 a la 5.6.1, contenía una puerta trasera.
Datos personales de 73 millones de titulares de cuentas en EE.UU. de AT&T se filtraron a la dark web
AT&T ha iniciado una investigación sobre el origen de una filtración de datos que incluye información personal de 73 millones de clientes actuales y anteriores en Estados Unidos.
Chilango Leaks: hackers de Mexican Mafia atacan al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras
Hackeo al Gobierno de CDMX: Colapso de la Línea 12, entre la información robada por Lord Peña
Entre la información robada al Gobierno de la CDMX está el colapso de la Línea 12, además de detalles sobre delincuentes y feministas.
Splunk corrige vulnerabilidades en productos empresariales
Splunk corrige vulnerabilidades de alta gravedad en Enterprise, incluido un problema de exposición de tokens de autenticación.
La nueva herramienta GEOBOX secuestra la Raspberry Pi y permite a los atacantes falsificar la ubicación
La nueva herramienta de la Dark Web GEOBOX, vendida por 700 dólares en Telegram y foros clandestinos, secuestra Raspberry Pi, lo que permite a los ciberdelincuentes falsificar ubicaciones y evadir la detección.
Los nuevos resultados de búsqueda de IA de Google promueven sitios que impulsan malware y estafas
Los nuevos algoritmos de Experiencia generativa de búsqueda impulsados por IA de Google recomiendan sitios fraudulentos
Múltiples vulnerabilidades en productos de DELL
Dell ha publicado 2 vulnerabilidades de severidades crítica y media que podrían provocar la pérdida de confidencialidad, integridad y disponibilidad.
FlowFixation Vulnerabilidad de adquisición del servicio AWS Apache Airflow
Tenable Research descubrió una vulnerabilidad de toma de control de cuenta con un solo clic en el servicio Apache Airflow de AWS Managed Workflows que podría haber permitido la toma completa del panel de administración web de la instancia de Airflow de la víctima. El descubrimiento de esta vulnerabilidad ahora resuelta revela un problema más amplio de dominios principales compartidos mal configurados que pone en riesgo a los clientes de los principales CSP.
Ivanti corrige un error crítico de Standalone Sentry informado por la OTAN
Ivanti advirtió a los clientes que parchearan inmediatamente una vulnerabilidad Standalone Sentry de gravedad crítica informada por investigadores del Centro de Seguridad Cibernética de la OTAN.
Atacante SiegedSec vulnera a TVC en linea
SiegedSec publica que ha vulnerado a TVC en linea, no filtra informacion pero borra varios repositorios y apaga infraestructuras.
Atacante supuestamente filtra base de datos de Banregio Grupo Financiero, revelando información confidencial
Un presunto actor de amenazas supuestamente reveló la base de datos de Banregio Grupo Financiero, un grupo financiero en México, con un tamaño de 340 MB y tipos de archivos que incluyen doc, xlsx, csv, sql y html.
SAP parchea vulnerabilidades críticas de inyección de comandos
El fabricante de software empresarial SAP documenta múltiples problemas de gravedad crítica y advierte sobre el riesgo de ataques de inyección de comandos.
Fortinet lanza actualizaciones de seguridad para múltiples productos
Fortinet lanzó actualizaciones de seguridad para abordar las vulnerabilidades en múltiples productos de Fortinet. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
El nuevo ataque Loop DoS afecta a miles de sistemas
Se ha descubierto que un novedoso vector de ataque de denegación de servicio (DoS) se dirige a protocolos de capa de aplicación basados en el Protocolo de datagramas de usuario (UDP), poniendo en riesgo a cientos de miles de hosts.
PVEM presenta otra vez propuesta de ciberseguridad
El PVEM a traves del diputado Lopez Casarin, presento otra vez una propuesta de ley de ciberseguridad sin mejoras notables que las anteriores.
Anonymous ataca instalación nuclear israelí
El grupo hacktivista Anonymous ha reivindicado una reciente violación de las redes administrativas (no operativas) de las instalaciones nucleares de Israel en Dimona como protesta contra la guerra con Gaza.
Cisco lanza actualizaciones de seguridad para software IOS XR
Cisco lanzó actualizaciones de seguridad para abordar vulnerabilidades en el software Cisco IOS XR. Un actor de amenaza cibernética podría explotar una de estas vulnerabilidades para tomar el control de un dispositivo afectado. CISA anima a los usuarios y administradores a revisar las siguientes advertencias y aplicar las actualizaciones necesarias: Software Cisco IOS XR para ASR 9000 Series Agregation Services Routers PPPoE Denegabilidad de servicio Cisco IOS XR Software SSH Privilege Escalada de vulnerabilidadCisco IOS XR Software Layer 2 Servicios Denegación de Vulnerabilidad de servicio Este producto está sujeto a esta Notificación y a esta Política de Privacidad .
Nuevo malware Fakext apunta a bancos latinoamericanos
Malware se aprovecha de extensiones maliciosas para el navegador Edge.
Múltiples vulnerabilidades 0day en productos de Apple Fecha de publicación
Apple ha publicado 4 vulnerabilidades, 2 de ellas de tipo 0day, que podrían permitir a un atacante eludir las protecciones de la memoria del kernel.
Múltiples vulnerabilidades en productos VMware
Varios investigadores han reportado 4 vulnerabilidades, 2 de severidad crítica y 2 altas, en varios productos de VMware.
Tarjetas de crédito American Express expuestas en violación de datos de terceros
American Express advierte a sus clientes que las tarjetas de crédito quedaron expuestas en una violación de datos de terceros después de que un procesador comercial fuera pirateado.
La plataforma de inteligencia artificial Hugging Face está plagada de 100 modelos de ejecución de códigos maliciosos
El hallazgo subraya el creciente riesgo de convertir en armas modelos de IA disponibles públicamente y la necesidad de una mejor seguridad para combatir la amenaza inminente.
Los ataques de vishing, smishing y phishing se disparan un 1265% después de ChatGPT
Según Enea, el 76% de las empresas carecen de suficiente protección contra fraudes de voz y mensajes a medida que el vishing y el smishing impulsados por IA se disparan tras el lanzamiento de ChatGPT .
El ataque de phishing MiTM puede permitir a los atacantes desbloquear y robar un Tesla
Los investigadores demostraron cómo podían realizar un ataque de phishing Man-in-the-Middle (MiTM) para comprometer las cuentas de Tesla, desbloquear automóviles y arrancarlos. El ataque funciona en la última aplicación de Tesla, versión 4.30.6, y en la versión 11.1 2024.2.7 del software Tesla.
ComPromptMized: Liberación de gusanos sin clic dirigidos a aplicaciones impulsadas por GenAI
El año pasado, numerosas empresas incorporaron capacidades de IA generativa (GenAI) en aplicaciones nuevas y existentes, formando ecosistemas interconectados de IA generativa (GenAI) que consisten en agentes semi o totalmente autónomos impulsados por servicios GenAI. Si bien las investigaciones en curso resaltaron los riesgos asociados con la capa de agentes GenAI (por ejemplo, envenenamiento de diálogos, filtración de privacidad, jailbreak), surge una pregunta crítica: ¿pueden los atacantes desarrollar malware para explotar el componente GenAI de un agente y lanzar ataques cibernéticos en todo el GenAI?
El gigante siderúrgico ThyssenKrupp confirma un ciberataque a su división de automoción
El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división Automotriz la semana pasada, obligándolos a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.
NIST lanza la versión 2.0 del marco de ciberseguridad Landmark
La agencia ha finalizado la primera actualización importante del marco desde su creación en 2014.
La campaña TimbreStealer apunta a usuarios mexicanos con señuelos financieros
Esta campaña utiliza correos electrónicos de phishing con temas financieros, dirigiendo a los usuarios. a un sitio web comprometido donde está alojada la carga útil y engañarlos para que ejecuten la aplicación maliciosa.
Ejecución remota de código en Azure de Microsoft
Nitesh Surana (@_niteshsurana) de Trend Micro Research, ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto ejecutar código arbitrario.
Ejército monitorea redes sociales para identificar críticos de militares y del Gobierno, crea bots para influenciar web
El Centro de Operaciones para el Ciberespacio de Sedena cuenta con el software HIWIRE usado para monitorear a personas usuarias de redes sociales que hacen publicacions críticas al Ejército y al Gobierno federal, de acuerdo con documentos obtenidos por el Colectivo Guacamaya.
Subdominios secuestrados de marcas importantes utilizados en campaña masiva de spam
Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.
Como era de esperar, LockBit ya ha vuelto
Sólo cinco días después de que un esfuerzo internacional de aplicación de la ley se apoderara de los sitios de filtración de LockBit , 34 servidores y 14.400 cuentas de correo electrónico fraudulentas utilizadas para respaldar la infraestructura y la extorsión, LockBit3.0 ha reaparecido con un nuevo sitio Tor que se parece al anterior.
OWASP publica una lista de verificación de seguridad para la implementación de IA generativa
El Open Web Application Security Project (OWASP) publicó la lista de verificación de gobernanza y ciberseguridad de LLM AI.
Error crítico de ScreenConnect ahora bajo ataque
Tanto los detalles técnicos como las pruebas de concepto están disponibles para las dos vulnerabilidades que ConnectWise reveló a principios de esta semana para ScreenConnect, su software de acceso y escritorio remoto.
vulnerabilidades de seguridad en el software de escritorio Autodesk AutoCAD
ZDI publicó vulnerabilidades de día cero el 12 de febrero para las versiones de los productos Autodesk AutoCAD
Venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
En otro incidente en una linea interminable de fallas de ciberseguridad del actual gobierno venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
El troyano GoldPickaxe combina el robo de datos biométricos y los deepfakes para estafar a los bancos
Los investigadores de seguridad han advertido sobre un nuevo y sofisticado troyano diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios.
vulnerabilidad crítica MonikerLink en Microsoft Outlook
Manejo de hipervínculos en Outlook: la investigación demuestra que los hipervínculos “file://” se pueden manipular de cierta manera, lo que resulta en eludir las medidas de seguridad de Outlook, como la Vista protegida.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Múltiples vulnerabilidades en FortiOS de Fortinet
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
Empresa pierde 25,6 millones de dólares debido a una conferencia telefónica deepfake.
Un empleado de la empresa fue invitado a una videollamada grupal llena de funcionarios de la empresa con deepfaking, incluido lo que parecía ser el director financiero de la empresa.
Múltiples vulnerabilidades en FortiOS de Fortinet
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
[Actualización 09/02/2024] Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Respuesta a incidentes de AnyDesk 5-2-2024
Anydesk recomienda utilizar las últimas versiones 7.0.15 y 8.0.8. Despues de incidente de ciberseguridad.
Bancos mexicanos y plataformas de criptomonedas atacadas con Troyano AllaKore RAT
Un actor de amenazas motivado financieramente está apuntando a bancos mexicanos y entidades de comercio de criptomonedas con instaladores empaquetados personalizados que ofrecen una versión modificada de AllaKore RAT, una herramienta de acceso remoto de código abierto.
Tesla hackeado de nuevo, 24 días cero más explotados en competencia Pwn2Own Tokyo
Los investigadores de seguridad hackearon el sistema de infoentretenimiento de Tesla y demostraron 24 días cero más en el segundo día de la competencia de piratería Pwn2Own Automotive 2024.
Hewlett Packard es vulnerada por APT29
El 12 de diciembre de 2023, se notificó a Hewlett Packard Enterprise Company que un presunto actor de estado-nación, que se cree que es el actor de amenazas Midnight Blizzard, el actor patrocinado por el estado también conocido como Cozy Bear, había obtenido acceso no autorizado al entorno de correo electrónico basado en la nube de HPE.
Ejecución remota de código en productos de Cisco
Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. En caso de tener acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.
Servidores de GitLab son vulnerables a los ataques de apropiación de cuentas sin clics que explotan la falla CVE-2023-7028.
La vulnerabilidad más crítica, rastreada como CVE-2023-7028 (puntuación CVSS 10), es la apropiación de una cuenta a través del restablecimiento de contraseña. La falla se puede explotar para secuestrar una cuenta sin ninguna interacción.
Mozilla lanza actualizaciones de seguridad para Thunderbird y Firefox
Mozilla ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades en Thunderbird y Firefox. Un actor de amenazas cibernéticas podría explotar una de estas vulnerabilidades para tomar el control de un sistema afectado.
Otro incidente de ciberseguridad del gobierno de amlo, datos de periodistas fueron filtrados
El presidente culpa a la oposicion y reconoció que “falló la seguridad”, aunque dijo que también pudieron haber sido “muy buenos hackeadores”.
Correos de spam con tematica de RRHH
Los estafadores se hacen pasar por representantes de recursos humanos y envían correos electrónicos maliciosos con enlaces que conducen a sitios de phishing o archivos adjuntos que pueden descargar malware. En los últimos seis meses, los investigadores han visto un aumento notable en el spam malicioso relacionado con recursos humanos, que se espera que continúe.
Explorando FBot | Malware basado en Python dirigido a servicios de pago.
FBot es una herramienta de piratería basada en Python distinta de otras familias de malware en la nube, dirigida a servidores web, servicios en la nube y plataformas SaaS como AWS, Office365, PayPal, Sendgrid y Twilio.
LockBit Ransomware distribuido a través de archivos de Word disfrazados de currículae
AhnLab SEcurity intelligence Center (ASEC) ha identificado que el ransomware LockBit se distribuye a través de archivos de Word desde el mes pasado.
IA utilizada para falsificar las voces de los seres queridos en la estafa de accidente.
El San Francisco Chronicle cuenta la historia de una familia que casi fue estafada cuando escucharon la voz de su hijo diciéndoles que había tenido un accidente automovilístico y lastimado a una mujer embarazada.
El nuevo método iShutdown expone el spyware oculto como Pegasus en tu iPhone
Los investigadores de ciberseguridad han identificado un "método ligero" llamado iShutdown para identificar de manera confiable signos de spyware en dispositivos iOS de Apple, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.
Más de 178.000 NGFW de Sonicwall expuestos en linea.
Los investigadores de Bishop Fox descubrieron que más de 178.000 firewalls de próxima generación (NGFW) de SonicWall eran explotables públicamente.
GitLab advierte de una vulnerabilidad crítica de secuestro de cuentas de click cero
GitLab ha lanzado actualizaciones de seguridad tanto para Community como para Enterprise Edition para abordar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario.
Falta de control de acceso en VMware Aria Automation
Vmware ha publicado una vulnerabilidad de severidad crítica que podría provocar el acceso no autorizado a organizaciones y flujos de trabajo remotos.
Cómo evitar y denunciar las estafas con tarjetas de regalo
Solo los estafadores le dirán que compre una tarjeta de regalo, como una tarjeta de Google Play o Apple Card, y les darán los números del reverso de la tarjeta. No importa lo que digan, eso es una estafa.
Estafas con tarjetas de regalo iStore
Tenga cuidado con las estafas relacionadas con las tarjetas de regalo de Apple, las tarjetas de regalo de App Store y iTunes, y las tarjetas de regalo de Apple Store.
Tres nuevos paquetes maliciosos de PyPI implementan CoinMiner
FortiGuard ha identificado tres nuevos paquetes maliciosos de PyPI que despliegan un ejecutable CoinMiner en dispositivos Linux, en un análisis publicado en la revista Security Research Review (PSIRT) el miércoles.
China afirma que descifró el AirDrop de Apple para encontrar números y direcciones de correo electrónico
Un instituto de investigación respaldado por el estado chino afirma haber descubierto cómo descifrar los registros de dispositivos para la función AirDrop de Apple, lo que permite al gobierno identificar números de teléfono o direcciones de correo electrónico de quienes compartieron contenido.
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Cómo las alucinaciones de la IA dificultan la caza de bugs
Los programas de recompensas por errores que pagan a las personas por encontrar errores son una herramienta muy útil para mejorar la seguridad del software. Pero con la disponibilidad de la inteligencia artificial (IA) como se ve en los populares modelos de lenguaje grande (LLM) como ChatGPT, Bard y otros, parece que hay un nuevo problema en el horizonte.
El administrador de BreachForums encarcelado de nuevo por usar una VPN y PC sin supervisión
El administrador detrás del notorio foro de piratería BreachForums ha sido arrestado nuevamente por violar las condiciones de liberación previa al juicio, incluido el uso de una computadora no monitoreada y una VPN.
Nuevo gusano ataca dispositivos Linux
Basado en el malware Mirai, NoaBot autorreplicante instala la aplicación de criptominería en los dispositivos infectados.
Los usuarios de X están hartos del flujo constante de anuncios de criptomonedas maliciosos
Los ciberdelincuentes están abusando de los anuncios X para promocionar sitios web que conducen a drenadores de criptomonedas, lanzamientos aéreos falsos y otras estafas.
Cuenta oficial X de la SEC fue comprometida y utilizada para publicar noticias falsas de Bitcoin
El regulador financiero de EE. UU. dice que su cuenta oficial de @SECGov estaba "comprometida", lo que resultó en una publicación "no autorizada" sobre el estado de los ETF de Bitcoin.
Inyección SQL en Ivanti Endpoint Manager
Ivanti ha descubierto una vulnerabilidad crítica en su producto EPM (Endpoint Manager), de tipo inyección SQL, cuya explotación podría permitir a un atacante remoto ejecutar código.
La cuenta de Mandiant en X fue hackeada para impulsar una estafa de criptomonedas
La cuenta de Twitter de la empresa estadounidense de ciberseguridad y subsidiaria de Google, Mandiant, fue secuestrada hoy para hacerse pasar por la billetera criptográfica Phantom y compartir una estafa de criptomonedas.
La dura y fría comprobación de la realidad de la computación cuántica
La exageración está en todas partes, dicen los escépticos, y las aplicaciones prácticas aún están lejos
detección temprana de dominios malintencionados almacenados
Los actores maliciosos a menudo adquieren una gran cantidad de nombres de dominio (llamados dominios almacenados) al mismo tiempo o configuran su infraestructura de manera automatizada. Lo hacen, por ejemplo, mediante la creación de configuraciones de DNS y certificados para estos dominios mediante scripts.
Gaza Cybergang el Frente Unificado de Hamás
Las superposiciones en la focalización, las características del malware y la evolución del malware a largo plazo después de 2018 sugieren que es probable que los subgrupos de Gaza Cybergang se hayan estado consolidando
Envenenamiento de la cadena de suministro de 7ZIP
Un informe describe cómo el grupo detrás de Lumma Stealer y el malware 7z-soft evadió la detección durante más de un año y actualmente está siendo investigado por Microsoft.
número creciente de aplicaciones maliciosas de préstamos de Android
Los investigadores han identificado un número creciente de aplicaciones maliciosas de préstamos de Android que se utilizan para chantajear y defraudar a los usuarios, y están disponibles para descargar desde tiendas de aplicaciones y sitios web de terceros.
Contrabando SMTP: cómo elude fácilmente sus defensas de correo electrónico
Una técnica recién descubierta que hace un mal uso de los comandos SMTP permite a los ciberdelincuentes pasar las comprobaciones SPF, DKIM y DMARC, lo que permite que los correos electrónicos suplantados lleguen a su víctima.
Atomic Stealer se distribuye a los usuarios de Mac a través de actualizaciones falsas del navegador
MalwareBytes informa que Atomic Stealer (también conocido como AMOS) ahora se está entregando a los usuarios de Mac a través de una cadena de actualización de navegador falsa rastreada como ClearFake.
Vulnerabilidad CVE-2023-46604 (Apache ActiveMQ) explotada para infectar sistemas con criptomineros y rootkits
Trend Vision descubrió la explotación activa de la vulnerabilidad CVE-2023-46604 de Apache ActiveMQ para descargar e infectar sistemas Linux con el malware Kinsing (también conocido como h2miner) y el minero de criptomonedas.
Associated Press, ESPN y CBS entre los principales sitios que ofrecen alertas falsas de virus
ScamClub es un actor de amenazas que ha estado involucrado en actividades de publicidad maliciosa desde 2018. Lo más probable es que te hayas encontrado con una de sus estafas en línea en tu dispositivo móvil. ScamClub es ingenioso y sigue teniendo un profundo impacto en el ecosistema publicitario.
Publicación de la falla PoC para RCE de Splunk Enterprise (CVE-2023-46214)
Se ha hecho público un exploit de prueba de concepto (PoC) para una falla de alta gravedad en Splunk Enterprise (CVE-2023-46214) que puede conducir a la ejecución remota de código.
Omisión de autenticación en VMware Cloud Director Appliance
Dustin Hartle, de Ideal Integrations Inc, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante omitir los mecanismos de autenticación del producto afectado.
Actualización de seguridad de SAP de noviembre de 2023
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 3 notas de seguridad, 1 de severidad crítica y 2 medias. También, se han actualizado 3 notas se seguridad de meses anteriores.
Microsoft corrige cinco vulnerabilidades de día cero
Microsoft ha lanzado correcciones para cinco vulnerabilidades de día cero en su ronda de actualizaciones mensuales, tres de las cuales están siendo explotadas activamente.
Una banda de ransomware presenta una queja ante la SEC por una infracción no revelada de la víctima
La operación de ransomware ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una queja ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ataque cibernético.
Hacktivistas irrumpen en laboratorio de investigación nuclear de EE. UU. y roban datos de empleados
El Laboratorio Nacional de Idaho (INL) confirma que sufrió un ciberataque después de que hacktivistas de SiegedSec filtraran en línea datos de recursos humanos robados.
Múltiples vulnerabilidades en productos Fortinet
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría provocar la ejecución de código arbitrario y pérdida de memoria.
Múltiples vulnerabilidades en productos Apple
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Malvertiser copia un sitio de noticias para PC para ofrecer un info-stealer
Los investigadores han identificado una nueva campaña de publicidad maliciosa que utiliza una plantilla que parece casi idéntica a un portal de noticias legítimo de Windows y entrega un instalador de software malicioso a las víctimas.
La aplicación Fake Ledger Live en Microsoft Store roba $768,000 en criptomonedas
Publicada con el nombre Ledger Live Web3, la aplicación falsa parece haber estado presente en Microsoft Store desde el 19 de octubre, pero el robo de criptomonedas comenzó a reportarse hace apenas un par de días.
Sitio web de Cloudflare caído por ataque DDoS reivindicado por Anonymous Sudan
Un grupo de amenazas conocido como Anonymous Sudan afirmó que fueron ellos quienes cerraron el sitio web de Cloudflare en un ataque distribuido de denegación de servicio (DDoS).
QNAP advierte sobre fallas críticas en la inyección de comandos en el sistema operativo y las aplicaciones QTS
QNAP Systems publicó avisos de seguridad para dos vulnerabilidades críticas de inyección de comandos que afectan múltiples versiones del sistema operativo QTS y aplicaciones en sus dispositivos de almacenamiento conectado a la red (NAS).
falla de día cero de SysAid explotada en ataques de ransomware Clop
Los actores de amenazas están explotando una vulnerabilidad de día cero en el software de gestión de servicios SysAid para obtener acceso a servidores corporativos para robar datos e implementar el ransomware Clop.
Un hacker filtra 35 millones de registros de usuarios de LinkedIn
El hacker responsable de esta filtración es el mismo individuo que anteriormente filtró bases de datos de InfraGard y Twitter.
Google advierte cómo los piratas informáticos podrían abusar del servicio de calendario como canal C2 encubierto
Google advierte sobre múltiples actores de amenazas que comparten un exploit público de prueba de concepto (PoC) que aprovecha su servicio Calendario para alojar la infraestructura de comando y control (C2).
Se puede abusar de la red -Find My- de Apple para robar contraseñas registradas
Actores maliciosos pueden abusar de la red de ubicación "Find My" de Apple para transmitir sigilosamente información confidencial capturada por registradores de teclas instalados en los teclados.
Prolífico Puma: el servicio de acortamiento de enlaces Shadowy permite el ciberdelito
Prolífico Puma: el servicio de acortamiento de enlaces Shadowy permite el ciberdelito
Múltiples vulnerabilidades 0day en Microsoft Exchange
Piotr Bazydlo, de la iniciativa Trend Micro Zero Day, ha reportado 4 vulnerabilidades de severidad alta que permite a los atacantes remotos revelar información confidencial y ejecutar código arbitrario sobre las instalaciones afectadas de Microsoft Exchange.
Múltiples vulnerabilidades en VMware Tools.
Hay actualizaciones disponibles para remediar estas vulnerabilidades en VMware afectado
Cómo Kopeechka, un servicio automatizado de creación de cuentas de redes sociales, puede facilitar el ciberdelito
Este informe explora el servicio Kopeechka y brinda un análisis técnico detallado de las características y capacidades del servicio y cómo puede ayudar a los ciberdelincuentes a lograr sus objetivos.
iLeakage: ataques de ejecución especulativa sin temporizador basados en navegador en dispositivos Apple
Presentamos iLeakage, un canal lateral de ejecución transitoria dirigido al navegador web Safari presente en Mac, iPad y iPhone. iLeakage muestra que el ataque Spectre sigue siendo relevante y explotable, incluso después de casi seis años de esfuerzos para mitigarlo desde su descubrimiento.
Advertencia de problemas F5: la vulnerabilidad BIG-IP permite la ejecución remota de código
F5 ha alertado a los clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría provocar la ejecución remota de código no autenticado.
La vacante de empleo falsa de Corsair apunta a los usuarios de LinkedIn con el malware DarkGate
Los investigadores de la empresa de seguridad WithSecure han descrito cómo se publican oportunidades laborales falsas en LinkedIn con la intención de difundir malware.
Microsoft hace sonar la alarma sobre Octo Tempest de habla inglesa
Microsoft ha descrito al grupo Octo Tempest (también conocido como Scattered Spider, 0ktapus, UNC3944) como “uno de los grupos criminales financieros más peligrosos” que operan en la actualidad.
Aeropuerto de Querétaro sufre ciberataque
Este martes el Aeropuerto Intercontinental de Querétaro (AIQ) registró un ciberataque en su sistema, sin embargo, se informa a los proveedores, usuarios y público en general que el equipo de expertos ya está trabajando para solucionar el problema.
Grupos hacktivistas utilizan desfiguraciones en el conflicto de Hamás con Israel
Los ataques de desfiguración implican la modificación no autorizada o el vandalismo de un sitio web o aplicación web. Estos ataques normalmente resultan en la alteración del contenido, la apariencia o la funcionalidad del sitio web por parte de atacantes con intenciones maliciosas.
Cuando PAM se vuelve deshonesto: el malware utiliza módulos de autenticación maliciosamente
En este artículo, exploraremos el uso de interfaces de programación de aplicaciones (API) del módulo de autenticación conectable (PAM) en software malicioso. También demostraremos por qué podría ser útil vigilar las API de PAM en un entorno de espacio aislado.
Vulnerabilidad 0day en protocolo HTTP/2 "Rapid Reset"
Cloudfare, en colaboración con Google y Amazon AWS, ha publicado la existencia de una vulnerabilidad 0day denominada ataque "HTTP/2 Rapid Reset". Explotando esta vulnerabilidad del protocolo HTTP/2 se podrían provocar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
Divulgación coordinada: RCE con 1 clic en GNOME (CVE-2023-43641)
CVE-2023-43641 es una vulnerabilidad en libcue, que puede provocar la ejecución de código al descargar un archivo en GNOME.
El extensor de alcance WiFi D-Link vulnerable a ataques de inyección de comandos
El popular extensor de alcance D-Link DAP-X1860 WiFi 6 es susceptible a una vulnerabilidad que permite ataques DoS (denegación de servicio) e inyección remota de comandos.
Los ataques de LinkedIn Smart Links vuelven a apuntar a cuentas de Microsoft
Los piratas informáticos una vez más están abusando de los enlaces inteligentes de LinkedIn en ataques de phishing para eludir las medidas de protección y evadir la detección en intentos de robar credenciales de cuentas de Microsoft.
Múltiples vulnerabilidades en la función de interfaz de usuario web del software Cisco IOS XE
Cisco proporciona una actualización para la investigación en curso sobre la explotación observada de la función de interfaz de usuario web en el software Cisco IOS XE.
La operación de defensa israelí Cyber Dome impulsada por IA cobra vida
Los israelíes están construyendo un sistema de ciberdefensa que utilizará plataformas de inteligencia artificial generativa similares a ChatGPT para analizar inteligencia sobre amenazas.
La aplicación maliciosa “RedAlert - Rocket Alerts” apunta a llamadas telefónicas, SMS e información de usuarios israelíes
El 13 de octubre de 2023, el equipo de operaciones contra amenazas Cloudforce One de Cloudflare se dio cuenta de que un sitio web alojaba una aplicación de Google para Android (APK) que se hacía pasar por la aplicación legítima RedAlert - Rocket Alerts.
Hacktivismo en el conflicto entre Israel y Hamás
Hasta ahora, el uso de novedosos malware/scareware y herramientas como Redline Stealer y PrivateLoader por parte de estos actores de amenazas continúa apuntando a ciudadanos, empresas y entidades del sector crítico israelíes, causando fugas de datos e interrupciones generalizadas.
Nuevo troyano XorDDoS para Linux
En una investigación en profundidad realizada por Palo Alto Networks se ha descubierto un nuevo troyano XorDDoS, que infecta dispositivos Linux y los utiliza para llevar a cabo ataques distribuidos de denegación de servicio.
La campaña DarkGate abusa de las plataformas de mensajería instantánea para entregar un script de carga VBA a las víctimas.
La campaña DarkGate abusa de las plataformas de mensajería instantánea para entregar un script de carga VBA a las víctimas.
Actor de amenazas cibernéticas vinculado a Gaza apunta a los sectores de energía y defensa israelíes
Un actor de amenazas con sede en Gaza ha sido vinculado a una serie de ataques cibernéticos dirigidos a organizaciones israelíes de energía, defensa y telecomunicaciones del sector privado.
Desbordamiento de búfer en librería glibc de distribuciones Linux
Esta vulnerabilidad se introdujo en abril de 2021, con la versión 2.34 de glibc (commit 2ed18c).
Millones de servidores de correo Exim expuestos a ataques RCE de día cero
Una vulnerabilidad crítica de día cero en todas las versiones del software del agente de transferencia de correo (MTA) de Exim puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.
Progress advierte sobre la vulnerabilidad del servidor WS_FTP de gravedad máxima
Progress Software, el fabricante de la plataforma de intercambio de archivos MOVEit Transfer recientemente explotada en ataques generalizados de robo de datos, advirtió a los clientes que parchearan una vulnerabilidad de máxima gravedad en su software de servidor WS_FTP.
Tequila OS 2.0: La primera distribución Linux forense en Latinoamérica
Estudiantes de la Universidad Nacional Autónoma de México desarrollaron Tequila OS 2.0, la primera distribución Linux en América Latina, especializándose en realizar análisis forenses en español.
Darkbeam fuga millones de combinaciones de correos y contraseñas
DarkBeam dejó desprotegida una interfaz de Elasticsearch y Kibana, exponiendo registros de violaciones de datos reportadas y no reportadas anteriormente.
Múltiples vulnerabilidades en productos Apple
Múltiples investigadores han reportado 61 vulnerabilidades que afectan a varios componentes de diversos productos de Apple. Apple comunica que estas vulnerabilidades afectan a los componentes Kernel y WebKit y están siendo explotadas activamente.
Flipper Zero, el Tamagotchi para hackers, presenta su nueva versión
El "tamagochi de los hackers" lanza una edición limitada transparente. Es tan exclusivo que un mismo cliente no podrá comprar más de dos unidades y la tirada está limitada a solo 7.500 unidades.
Estafador de BEC se declara culpable de participar en un plan de 6 millones de dólares
Un nigeriano extraditado a Estados Unidos se había declarado culpable de su participación en una conspiración multimillonaria para comprometer correos electrónicos comerciales (BEC).
Inyección de comandos en el sistema operativo en EasyPHP Webserver
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a EasyPHP Webserver 14.1, la cual ha sido descubierta por Rafael Pedrero.
Detrás de escena de BBTok: análisis de los componentes del lado del servidor del malware bancario
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina. En la investigación, destacamos cadenas de infección recientemente descubiertas que utilizan una combinación única de binarios Living off the Land (LOLBins). Esto da como resultado bajas tasas de detección, a pesar de que BBTok Banker opera al menos desde 2020. Mientras analizamos la campaña, encontramos algunos de los recursos del lado del servidor del actor de amenazas utilizados en los ataques, dirigidos a cientos de usuarios en Brasil y México.
Trend Micro corrige la protección de endpoints de día cero utilizada en ataques
Trend Micro solucionó una vulnerabilidad de día cero de ejecución remota de código en la solución de protección de terminales Apex One de Trend Micro que fue explotada activamente en los ataques.
Hackers violaron los sistemas de la Corte Penal Internacional la semana pasada
La Corte Penal Internacional (CPI) reveló un ciberataque el martes después de descubrir la semana pasada que sus sistemas habían sido vulnerados.
Detras de la amenaza de BBTok, analisis del lado del servidor.
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina.
Múltiples vulnerabilidades en productos Apple
Bill Marczak, de The Citizen Lab de la Escuela Munk de la Universidad de Toronto, y Maddie Stone, de Google Threat Analysis Group, han reportado 3 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
38 TB de datos expuestos accidentalmente por investigadores de inteligencia artificial de Microsoft
Wiz Research encontró un incidente de exposición de datos en el repositorio GitHub de IA de Microsoft, incluidos más de 30.000 mensajes internos de Microsoft Teams, todos causados por un token SAS mal configurado.
La organización de agua de EE. UU. y Canadá confirma un incidente de ciberseguridad
La Comisión Conjunta Internacional, un organismo que gestiona los derechos de agua a lo largo de la frontera entre Estados Unidos y Canadá, confirmó que su seguridad informática fue atacada, luego de que una banda de ransomware afirmara que robó 80 GB de datos de la organización.
El ataque LockBit falla, el ransomware 3AM interviene como plan B
Los investigadores identificaron recientemente una nueva cepa de ransomware llamada 3AM. Su investigación reveló que el primer uso conocido de este ransomware se produjo cuando los actores de amenazas lo sustituyeron por el ransomware LockBit en un ataque fallido.
Advertencia de CISA: Hackers de los estados-nación explotan las vulnerabilidades de Fortinet y Zoho
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
Explotación de día cero de Chrome en estado salvaje, ¡parchea ahora! (CVE-2023-4863)
Google ha lanzado una actualización de seguridad para una vulnerabilidad crítica de día cero en Chrome (CVE-2023-4863) explotada en estado salvaje.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda una vulnerabilidad crítica. Una explotación exitosa podría conducir a la ejecución de código arbitrario. Adobe es consciente de que CVE-2023-26369 ha sido explotado libremente en ataques limitados dirigidos a Adobe Acrobat y Reader.
MGM Resorts cierra sus sistemas informáticos tras un ciberataque
MGM Resorts International reveló hoy que está lidiando con un problema de ciberseguridad que afectó a algunos de sus sistemas, incluido su sitio web principal, reservas en línea y servicios en el casino, como cajeros automáticos, máquinas tragamonedas y máquinas de tarjetas de crédito.
Anonymous Sudan intentó eliminar Telegram después de que la aplicación de mensajería prohibiera su cuenta principal.
Anonymous Sudan intentó eliminar Telegram después de que la aplicación de mensajería prohibiera su cuenta principal.
Poderosa milicia étnica de Myanmar repatria a 1.200 chinos sospechosos de estar implicados en delitos cibernéticos
Una de las milicias de minorías étnicas más grandes y poderosas de Myanmar arrestó y repatrió a más de 1.200 ciudadanos chinos presuntamente involucrados en operaciones criminales de estafa en línea.
El último truco de XLoader | Nueva variante de macOS disfrazada de OfficeNote firmada
XLoader ha regresado en una nueva forma y sin dependencias. Escrito de forma nativa en los lenguajes de programación C y Objective C y firmado con la firma de un desarrollador de Apple, XLoader ahora se hace pasar por una aplicación de productividad de oficina llamada "OfficeNote".
Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet
William Costa, del equipo CSE de Fortinet, ha notificado una vulnerabilidad de severidad alta que podría permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso en una página de gestión de invitados.
Routers ASUS se ven afectados por 3 nuevas fallas de RCE
Tres vulnerabilidades críticas de ejecución remota de código en los enrutadores ASUS permiten potencialmente a los atacantes secuestrar los dispositivos de red.
Boletín de seguridad de Android de septiembre de 2023
El boletín de Android, relativo a septiembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).
El kit de phishing W3LL secuestra cuentas de Microsoft 365 y elude MFA
Un actor de amenazas conocido como W3LL desarrolló un kit de phishing que puede eludir la autenticación multifactor junto con otras herramientas que comprometieron más de 8000 cuentas corporativas de Microsoft 365.
Las actualizaciones de VMware Aria Operations for Networks abordan múltiples vulnerabilidades. (CVE-2023-34039, CVE-2023-20890)
Se informaron de manera responsable a VMware múltiples vulnerabilidades en Aria Operations for Networks. Hay actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.
JPCERT de Japón advierte sobre nuevo ataque MALDOC EN PDF
JPCERT de Japón advierte sobre un nuevo ataque "MalDoc en PDF" detectado recientemente que incrusta archivos maliciosos de Word en archivos PDF.
Servidores de correo electrónico del gobierno de EE. UU. pirateados en ataques de dispositivos Barracuda (seguimiento).
Presuntos piratas informáticos chinos atacaron organizaciones vinculadas a gobiernos en todo el mundo en ataques recientes dirigidos a un Barracuda Email Security Gateway (ESG) de día cero, con un enfoque en entidades de toda América.
Comportamientos extraños en dominios de nivel superior crean incertidumbre en DNS
Google presentó el nuevo dominio de nivel superior (TLD) “.zip” el 3 de mayo de 2023, lo que provocó una tormenta de controversia cuando las organizaciones de seguridad advirtieron contra la confusión que seguramente ocurriría.
Enfrenta Semarnat hackeo en todos sus sistemas; en riesgo, información de todo el sector ambiental
Enfrenta Semarnat hackeo en todos sus sistemas; en riesgo, información de todo el sector ambiental.
Vulnerabilidad del dispositivo de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda
Mandiant evalúa que un número limitado de víctimas previamente afectadas que no han seguido las instrucciones de Barracuda para reemplazar sus electrodomésticos afectados aún pueden enfrentar riesgos asociados con esto.
CVE-2023-38035: Vulnerabilidad que afecta a Ivanti Sentry
Se ha descubierto una vulnerabilidad en Ivanti Sentry, anteriormente MobileIron Sentry. Hemos informado esto como CVE-2023-38035. Esta vulnerabilidad afecta a todas las versiones compatibles: versiones 9.18. 9.17 y 9.16. Las versiones/lanzamientos anteriores también están en riesgo.
DEF CON 31: El Departamento de Defensa de EE. UU. insta a los piratas informáticos a piratear la "IA"
El Dr. Craig Martell, director de Inteligencia Digital y Artificial del Departamento de Defensa de los Estados Unidos, hizo un llamado a la audiencia en DEF CON 31 en Las Vegas para que piratearan modelos de lenguaje grandes (LLM).
La primera actualización de seguridad semanal de Chrome corrige vulnerabilidades de alta gravedad
Google ha lanzado la primera actualización de seguridad semanal de Chrome, que corrige cinco vulnerabilidades de seguridad de la memoria, incluidas cuatro clasificadas como de "alta gravedad".
#OPFUKUSHIMA: GRUPO ANONYMOUS PROTESTA CONTRA EL PLAN DE VERTER AGUAS RESIDUALES RADIACTIVAS DE FUKUSHIMA AL PACÍFICO
El famoso colectivo Anonymous ha lanzado ciberataques contra sitios web nucleares japoneses en relación con el plan hidráulico contaminante de Fukushima.
Hackers adolescentes de Lapsus$ condenados por ciberataques de alto perfil
Un jurado de Londres determinó que un miembro de 18 años de la banda de extorsión de datos Lapsus$ ayudó a piratear varias empresas de alto perfil, les robó datos y exigió un rescate amenazando con filtrar la información.
Denegación de servicio en productos de Cisco
Descripción Cisco ha publicado 3 vulnerabilidades de severidad alta que podrían provocar que un atacante realice una denegación de servicio.
WHIFFY RECON MALWARE TRIANGULA LA POSICIÓN DE LOS SISTEMAS INFECTADOS MEDIANTE WI-FI
Los expertos observaron que el malware SmokeLoader entregaba una nueva cepa de malware de escaneo de Wi-Fi denominada Whiffy Recon.
Cuba Ransomware implementa nuevas herramientas: apunta al sector de infraestructura crítica
Los investigadores han descubierto y documentado nuevas herramientas utilizadas por el grupo de amenazas de ransomware Cuba. El ransomware Cuba se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración.
Hacktivistas atacan al gobierno japonés por la liberación de aguas residuales de Fukushima
Afirmando su afiliación con Anonymous, los e-hippies quieren más debate sobre los flujos radiactivos
Cómo y por qué los ciberdelincuentes fabrican fugas de datos
Una mirada más cercana a la naturaleza de las fugas falsas puede brindar orientación sobre cómo mitigar de manera efectiva los riesgos asociados.
Actualización de seguridad de SAP de agosto de 2023
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Los piratas informáticos abusan cada vez más de los túneles de Cloudflare para conexiones sigilosas
Los piratas informáticos abusan cada vez más de la función legítima de los túneles de Cloudflare para crear conexiones HTTPS sigilosas desde dispositivos comprometidos, eludir los firewalls y mantener la persistencia a largo plazo.
Microsoft corrige más de 80 fallas, incluidas dos de día cero
Microsoft lanzó ayer actualizaciones para 87 vulnerabilidades, incluidas dos que se están explotando activamente en la naturaleza. El primer día cero se reveló públicamente en el Patch Tuesday del mes pasado, según el ingeniero de investigación sénior de Tenable, Satnam Narang.
CISA publica informes de análisis de malware en Backdoor de Barracuda
CISA ha publicado un informe de análisis de malware adicional asociado con la actividad maliciosa de Barracuda. El informe proporciona un análisis de cuatro muestras de malware.
SiegedSec Hacktivist afirma atacar a la OTAN y filtrar documentos confidenciales
En su canal Telegram, el grupo SiegedSec afirmó que su pirateo de la OTAN no tiene nada que ver con la guerra entre Rusia y Ucrania, y simplemente destaca los abusos de los derechos humanos por parte de la OTAN.
Base de datos de BreachForums y chats privados a la venta en filtración
Si bien los consumidores suelen ser los que se preocupan por la exposición de su información en las filtraciones de datos, ahora es el turno de los piratas informáticos, ya que la base de datos del notorio foro de delitos cibernéticos Breached está a la venta y los datos de los miembros se comparten con Have I Been Pwned.
El sitio web de la refinería de petróleo más grande de Israel fuera de línea después del ataque DDoS
El sitio web del operador de refinería de petróleo más grande de Israel, BAZAN Group, es inaccesible desde la mayor parte del mundo, ya que los actores de amenazas afirman haber pirateado los sistemas cibernéticos del Grupo.
Los piratas informáticos respaldados por Rusia utilizaron Microsoft Teams para violar las agencias gubernamentales
Los piratas informáticos patrocinados por el estado ruso se hicieron pasar por personal de soporte técnico en los equipos de Microsoft para comprometer a docenas de organizaciones globales, incluidas las agencias gubernamentales.
Fenix Cybercrime Group se hace pasar por autoridades fiscales para apuntar a usuarios latinoamericanos
Las personas que pagan impuestos en México y Chile han sido atacadas por un grupo de ciberdelincuencia con sede en México que se hace llamar Fenix para violar redes específicas y robar datos valiosos.
Servicios de atención primaria de EE. UU. cerrados después de un ataque cibernético
Un ataque cibernético generalizado en los sistemas informáticos de los hospitales ha causado interrupciones significativas en los Estados Unidos, lo que ha provocado el cierre de salas de emergencia en varios estados y el desvío de ambulancias.
Dog Hunt: Encontrar el kit de herramientas para Decoy Dog a través del tráfico DNS anómalo
A medida que los actores de amenazas han madurado durante la última década, han aprendido a evadir los métodos de detección estándar de la industria y se adaptan constantemente. Se sabe que a menudo registran un dominio, pero no lo usan por un tiempo: una técnica llamada envejecimiento estratégico.
Botnet Fenix: Nueva botnet que persigue a los contribuyentes en México y Chile
Los investigadores descubrieron recientemente un grupo local que creó una nueva botnet autoproclamada como "Fenix", que apunta específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile.
Apple abordó un nuevo día cero explotado activamente rastreado como CVE-2023-38606
Apple lanzó actualizaciones de seguridad para abordar una falla de día cero explotada activamente en iOS, iPadOS, macOS, tvOS, watchOS y Safari.
Vulnerabilidad RCE en ssh-agent de OpenSSH
El equipo Qualys Threat Research Unit (TRU) ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto ejecutar comandos arbitrarios a través del ssh-agent de OpenSSH.
Chrome 115 Parcha 20 Vulnerabilidades
Chrome 115 se lanzó con parches para 20 vulnerabilidades, incluidas 11 informadas por investigadores externos, que ganaron miles de dólares en recompensas de "bug bounty".
Caimán manipulado: la sofisticada trampa de los depredadores bancarios de México
Quitando las capas de engaño, nos adentramos en una compleja operación de phishing que los investigadores de Perception Point han denominado "Caimán manipulado".
WormGPT, la herramienta de IA generativa para lanzar sofisticados ataques BEC
Investigadores de SlashNext advierten sobre los peligros relacionados con una nueva herramienta generativa de cibercrimen de IA denominada WormGPT. Dado que los chatbots como ChatGPT llegaron a los titulares, los expertos en seguridad cibernética advirtieron sobre posibles abusos de la inteligencia artificial (IA) generativa que los ciberdelincuentes pueden explotar para lanzar ataques sofisticados.
Cómo los hackers pueden secuestrar un satélite
Una computadora que vuela cientos o incluso miles de kilómetros en el cielo, a una velocidad de decenas de miles de kilómetros por hora, sigue siendo, sin embargo, una computadora. Y cada computadora conectada tiene una superficie de ataque.
Fortinet lanza actualización de seguridad para FortiOS y FortiProxy
Fortinet ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica (CVE-2023-33308) que afecta a FortiOS y FortiProxy. Un atacante remoto puede aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. CISA alienta a los usuarios y administradores a revisar la versión de seguridad de Fortinet FG-IR-23-183 y aplicar las actualizaciones necesarias.
El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas
Hoy es dia de parches Microsoft, con actualizaciones de seguridad para 132 fallas, incluidas seis vulnerabilidades explotadas activamente y treinta y siete vulnerabilidades de ejecución remota de código. Si bien se corrigieron treinta y siete errores de RCE, Microsoft solo calificó nueve como "Críticos". Sin embargo, una de las fallas de RCE permanece sin parchear y se explota activamente en ataques vistos por numerosas empresas de ciberseguridad.
Typo envía millones de correos electrónicos militares estadounidenses al aliado ruso Mali
Millones de correos electrónicos militares de EE. UU. se han enviado por error a Malí, un aliado de Rusia, debido a un error de escritura menor. Los correos electrónicos destinados al dominio ".mil" del ejército estadounidense se han enviado durante años al país de África occidental que termina con el sufijo ".ml".
La Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Mientras aun se espera el catalogado y publicación de los 6TB de documentos filtrados por el grupo "Guacamaya" , la Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Nueva herramienta explota el error de Microsoft Teams para enviar malware a los usuarios
Un miembro del "Red Team" del US Navy ha publicado una herramienta llamada TeamsPhisher que aprovecha un problema de seguridad no resuelto en Microsoft Teams para eludir las restricciones de archivos entrantes de usuarios fuera de una organización objetivo, los llamados inquilinos externos.
0day de tipo ejecución de código arbitrario en WebKit de Apple
Un investigador anónimo ha informado a Apple de una vulnerabilidad, de tipo 0day, que podría permitir a un atacante ejecutar código arbitrario.
Progress Software lanza Service Pack para vulnerabilidades de transferencia de MOVEit
Progress Software ha lanzado un Service Pack para abordar tres vulnerabilidades recientemente reveladas (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) en MOVEit Transfer. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para obtener información confidencial. CISA alienta a los usuarios a revisar el artículo MOVEit Transfer de Progress Software y aplicar las actualizaciones del producto según corresponda para mejorar la seguridad.
Pirata informático con sede en México apunta a bancos globales con malware para Android
Un atacante de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023. La actividad se atribuye a un actor cuyo nombre en código es Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
Más de 300 000 firewalls de Fortinet son vulnerables a errores críticos de FortiOS RCE
Cientos de miles de firewalls FortiGate son vulnerables a un problema de seguridad crítico identificado como CVE-2023-27997, casi un mes después de que Fortinet publicara una actualización que soluciona el problema. La vulnerabilidad es una ejecución remota de código con una puntuación de gravedad de 9,8 sobre 10 como resultado de un problema de desbordamiento de búfer basado en heap en FortiOS, el sistema operativo que conecta todos los componentes de red de Fortinet para integrarlos en la plataforma Security Fabric del proveedor.
ChatGPT engañado para generar claves de Windows 10 y Windows 11
Un usuario de Twitter utilizó con éxito el "exploit de la abuela" para engañar a ChatGPT y adquirir varios códigos de Windows 10.
Hackers afirman inhabilitar al proveedor ruso de comunicaciones por satélite.
Un grupo de hackers previamente desconocidos se atribuyó la responsabilidad de un ataque cibernético contra el proveedor ruso de comunicaciones por satélite Dozor-Teleport, que es utilizado por las empresas de energía y los servicios de defensa y seguridad del país.
Las autoridades estadounidenses confiscan el dominio BreachForums
El gobierno de EE. UU. finalmente parece haber capturado los dominios de clear web asociados con el notorio mercado de filtraciones BreachForums, a pesar del arresto del propietario del sitio hace meses.
Vulnerabilidad de día cero ESG de Barracuda (CVE-2023-2868) explotada globalmente por un actor agresivo y hábil, presuntos vínculos con China
El 23 de mayo de 2023, Barracuda anunció que una vulnerabilidad de día cero (CVE-2023-2868) en Barracuda Email Security Gateway (ESG) había sido explotada "in the wild" , en octubre de 2022 contrataron a Mandiant para ayudar en la investigacion, Mandiant identificó a un presunto actor con nexos con China, actualmente rastreado como UNC4841, apuntando a un subconjunto de dispositivos Barracuda ESG utilizados como vector de espionaje, que abarca una multitud de regiones y sectores. Mandiant evalúa con gran confianza que UNC4841 es un agente de espionaje detrás de esta amplia campaña en apoyo de la República Popular China.
RecordBreaker Infostealer disfrazado de instalador .NET
Si el malware se ejecuta en un entorno de usuario normal, el archivo de malware cifrado se descarga del servidor del autor de la amenaza y se ejecuta. El malware en este caso es RecordBreaker (Raccoon Stealer V2) Infostealer. Sin embargo, en un entorno virtual, se descarga un instalador de actualización de .NET desde el sitio web oficial de Microsoft en lugar del malware. Después de descargar el instalador, se ejecuta y finaliza.
Fortinet corrige falla crítica de ejecución de comandos remotos de FortiNAC
La empresa de soluciones de ciberseguridad Fortinet ha actualizado su solución de acceso de confianza cero FortiNAC para abordar una vulnerabilidad de gravedad crítica que los atacantes podrían aprovechar para ejecutar código y comandos. FortiNAC permite a las organizaciones administrar políticas de acceso a toda la red, obtener visibilidad de dispositivos y usuarios, y proteger la red contra accesos no autorizados y amenazas. El problema de seguridad se rastrea como CVE-2023-33299 y recibió una puntuación de gravedad crítica de 9,6 sobre 10. Es una deserialización de datos que no son de confianza que puede conducir a la ejecución remota de código (RCE) sin autenticación.
Vulnerabilidad crítica de RCE CVE-2023-20887 en VMware vRealize explotada "in the wild"
VMware advierte a los clientes que una vulnerabilidad crítica de ejecución remota de código en Aria Operations for Networks (anteriormente vRealize Network Insight), rastreada como CVE-2023-20887, se está explotando activamente en la naturaleza. “VMware ha confirmado que la explotación de CVE-2023-20887 se ha producido en la naturaleza”, se lee en el aviso.
ASUS insta a los clientes a reparar las vulnerabilidades críticas de sus routers
ASUS ha lanzado un nuevo firmware con actualizaciones de seguridad acumulativas que abordan las vulnerabilidades en múltiples modelos de enrutadores, advirtiendo a los clientes que actualicen inmediatamente sus dispositivos o restrinjan el acceso a la WAN hasta que estén protegidos. Como explica la compañía, el firmware recién lanzado contiene correcciones para nueve fallas de seguridad, incluidas las más altas y críticas.
Nuevo sitio BreachForums hackeado por rivales
El sitio reencarnado de BreachForums acaba de ser hackeado y su base de datos de usuarios publicada. El equipo de investigación de Cybernews ha confirmado que la base de datos filtrada es legítima. No ha pasado ni una semana desde que el mercado de delitos informáticos BreachForums pareció haber resucitado con la ayuda de su antiguo segundo al mando. Sin embargo, los usuarios de los mercados de delitos cibernéticos rivales ahora comparten una base de datos que contiene los detalles de 4700 usuarios de los nuevos BreachForums.
Apple corrige los días cero utilizados para implementar el software espía Triangulación a través de iMessage
Apple abordó tres nuevas vulnerabilidades de día cero explotadas en ataques que instalan software espía Triangulación en iPhones a través de vulnerabilidades de clic cero de iMessage. "Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7", dice la compañía al describir las vulnerabilidades de Kernel y WebKit rastreadas como CVE-2023-32434 y CVE-2023-32435.
Anonymous filtra documentos del gobierno cubano
El grupo hacktivista Anonymous filtro 6.38 Gb de documentos del gobierno cubano en el seguimiento de su campaña contra el gobierno dictatorial de la isla.
Ciudadano ruso arrestado y acusado de conspirar para cometer ataques de ransomware LockBit contra EE. UU. y Negocios Extranjeros
El Departamento de Justicia anunció hoy cargos contra un ciudadano ruso por su participación en el despliegue de numerosos ransomware LockBit y otros ataques cibernéticos contra los sistemas informáticos de las víctimas en los Estados Unidos, Asia, Europa y África.
software de transferencia de archivos MOVEit Transfer victima de ransomware
Progress Software es una empresa estadounidense que proporciona MOVEit Transfer a muchas empresas para que puedan mover archivos de forma segura en los sistemas de la empresa. En un aviso de seguridad publicado por la empresa, se reveló que se había descubierto una vulnerabilidad en el software MOVEit Transfer que podría conducir a "privilegios aumentados y posible acceso no autorizado al entorno". El 27 de mayo de 2023, la pandilla de ransomware CL0P, también conocida como TA505, comenzó a explotar una vulnerabilidad de inyección SQL previamente desconocida (CVE-2023-34362) en el software MOVEit Transfer. Entre las victimas se encuentran: BBC, British Airways y Ernst & Young entre otros.
La nueva campaña de Horabot apunta a las Américas
Cisco Talos ha observado a un actor de amenazas que implementa un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020. El actor de amenazas parece estará dirigido a usuarios de habla hispana en las Américas y, según el análisis de Talos, podría estar ubicado en Brasil. Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima. El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima. La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
El 19 de mayo de 2023, Barracuda Networks identificó una vulnerabilidad de inyección de comando remoto (CVE-2023-2868) presente en las versiones 5.1.3.001-9.2.0.006 de Barracuda Email Security Gateway (solo factor de forma de dispositivo). La vulnerabilidad provino de una validación de entrada incompleta de los archivos .tar proporcionados por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. En consecuencia, un atacante remoto podría formatear los nombres de los archivos de una manera particular que daría como resultado la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway. La investigación de Barracuda hasta la fecha ha determinado que un tercero usó la técnica descrita anteriormente para obtener acceso no autorizado a un subconjunto de dispositivos ESG.
Microsoft 365 phishing attacks use encrypted RPMSG messages
Attackers are now using encrypted RPMSG attachments sent via compromised Microsoft 365 accounts to steal Microsoft credentials in targeted phishing attacks designed to evade detection by email security gateways.
Dark Web Bust Leads to Arrest of 288 Suspects
International police have arrested nearly 300 individuals on suspicion of buying or selling drugs on underground marketplace Monopoly Market.
LockBit for Mac | How Real is the Risk of macOS Ransomware?
LockBit claims to be “the oldest ransomware affiliate program on the planet”, and news that one of the major cybercrime outfits in the ransomware landscape was now targeting macOS devices has predictably raised concerns about the ransomware threat on Mac devices.
Apple fixes recently disclosed zero-days on older iPhones and iPads
Apple has released emergency updates to backport security patches released on Friday, addressing two actively exploited zero-day flaws also affecting older iPhones, iPads, and Macs.
Google Chrome emergency update fixes first zero-day of 2023
Google has released an emergency Chrome security update to address the first zero-day vulnerability exploited in attacks since the start of the year. "Google is aware that an exploit for CVE-2023-2033 exists in the wild," the search giant said in a security advisory published on Friday.
Beware of new YouTube phishing scam using authentic email address
Watch out for a new YouTube phishing scam and ignore any email from YouTube that claims to provide details about “Changes in YouTube rules and policies | Check the Description.”
Researcher Tricks ChatGPT Into Building Undetectable Steganography Malware
Using only ChatGPT prompts, a Forcepoint researcher convinced the AI to create malware for finding and exfiltrating specific documents, despite its directive to refuse malicious requests.
HP to patch critical bug in LaserJet printers within 90 days
HP announced in a security bulletin this week that it would take up to 90 days to patch a critical-severity vulnerability that impacts the firmware of certain business-grade printers. The security issue is tracked as CVE-2023-1707 and it affects about 50 HP Enterprise LaserJet and HP LaserJet Managed Printers models.
Emotet Resumes Spam Operations, Switches to OneNote
Following its initial return to spamming operations, Emotet was leveraging heavily padded Microsoft Word documents in an attempt to evade detection. By leveraging a large number of inconsequential bytes in their documents, they could increase the size of the documents to surpass the maximum file size restrictions that automated analysis platforms like sandboxes and anti-virus scanning engines enforce.
Mispadu Trojan Steals 90,000+ Banking Credentials From Latin American Victims
Twenty different spam campaigns relying on the Mispadu banking Trojan were discovered targeting victims in Chile, Mexico, Peru and Portugal.
BreachForums current Admin Baphomet shuts down BreachForums
Baphomet, the current administrator of BreachForums, announced that the popular hacking forum has been officially taken down.
FiXS, a new ATM malware that is targeting Mexican banks
Researchers at Metabase Q discovered a new ATM malware, dubbed FiXS, that was employed in attacks against Mexican banks since February 2023.
The Titan Stealer: Notorious Telegram Malware Campaign
Titan Stealer malware, which is being marketed and sold by a threat actor (TA) through a Telegram channel for cybercrime purposes. The stealer is capable of stealing a variety of information from infected Windows machines, including credential data from browsers and crypto wallets, FTP client details, screenshots, system information, and grabbed files.
Google sponsored ads malvertising targets password manager
Malwarebytes researchers have found a more direct way to get at your login credentials by phishing for popular password manager 1Password, as well as using Google sponsored ads to trick people into downloading malware.
OneNote Documents Increasingly Used to Deliver Malware
Proofpoint researchers recently identified an increase in threat actor use of OneNote documents to deliver malware via email to unsuspecting end-users in December 2022 and January 2023.
GoDaddy Announces Source Code Stolen and Malware Installed in Breach
Web hosting company GoDaddy has revealed that an unauthorized party gained access to its servers and installed malware, causing the intermittent redirection of customer websites.
Hackers start using Havoc post-exploitation framework in attacks
Security researchers are seeing threat actors switching to a new and open-source command and control (C2) framework known as Havoc as an alternative to paid options such as Cobalt Strike and Brute Ratel.
Experts Warn of Surge in Multipurpose Malware
Experts Warn of Surge in Multipurpose Malware
New ESXiArgs ransomware version prevents VMware ESXi recovery
New ESXiArgs ransomware attacks are now encrypting more extensive amounts of data, making it much harder, if not impossible, to recover encrypted VMware ESXi virtual machines.
Reddit was hit with a phishing attack
How it responded is a lesson for everyone
Malicious Google ads sneak AWS phishing sites into search results
Malicious Google ads sneak AWS phishing sites into search results
EvilProxy Phishing-as-a-Service con omisión de MFA surgió en la Dark Web
Resecurity ha identificado un nuevo servicio clandestino que permite a los ciberdelincuentes eludir los mecanismos de autenticación 2FA (MFA) a gran escala sin necesidad de piratear los servicios anteriores o la cadena de suministro. Los actores de EvilProxy están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima de proxy.
La nueva campaña de ataque de Golang aprovecha las macros de Office y las imagenes del telescopio Webb
El equipo de investigación de Securonix Threat identificó recientemente una muestra única de una campaña de ataque persistente basada en Golang rastreada por Securonix como GO#WEBBFUSCATOR. La nueva campaña incorpora una estrategia igualmente interesante al aprovechar la infame imagen de campo profundo tomada del telescopio James Webb y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware.
Ataque AiTM a gran escala dirigido a usuarios empresariales de servicios de correo Microsoft
Los investigadores de seguridad descubrieron una nueva variedad de una campaña de phishing a gran escala, que utiliza técnicas de adversario en el medio (AiTM) junto con varias tácticas de evasión. Se utilizaron técnicas similares de phishing AiTM en otra campaña de phishing descrita recientemente por Microsoft.
Infección de Emotet con Cobalt Strike
Emotet ha permanecido activo desde febrero de 2022. Hoy jueves 2022-07-07, hay un nuevo ejemplo de una infección de Emotet con Cobalt Strike para compartir.
El nuevo malware HiddenAds afecta a más de 1 millón de usuarios y se oculta en Google Play
Los investigadores de seguridad identificaron nuevo malware en Google Play Store. El malware oculta y muestra continuamente anuncios a las víctimas. Además, ejecutan servicios maliciosos automáticamente tras la instalación sin ejecutar la aplicación.
CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
Los rootkits son implantes de malware que se entierran en los rincones más profundos del sistema operativo. Aunque en el papel pueden parecer atractivos para los atacantes, crearlos plantea importantes desafíos técnicos y el más mínimo error de programación tiene el potencial de colapsar por completo la máquina víctima. En nuestras predicciones de APT para 2022, notamos que, a pesar de estos riesgos, esperábamos que más atacantes alcanzaran el nivel de sofisticación necesario para desarrollar tales herramientas. Uno de los principales atractivos del malware anidado en niveles tan bajos del sistema operativo es que es extremadamente difícil de detectar y, en el caso de los rootkits de firmware, asegurará que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la máquina por completo.
IPFS: el nuevo foco de phishing
Hace unos meses, Trustwave informó sobre un sitio interesante llamado Chameleon Phishing Page. Estos sitios web tienen la capacidad de cambiar su fondo y logotipo según el dominio del usuario. El sitio de phishing se almacena en IPFS (Sistema de archivos interplanetarios) y después de revisar las URL utilizadas por el atacante, notamos un número creciente de correos electrónicos de phishing que contienen URL de IPFS como carga útil.
Malware sigiloso de OpenDocument desplegado contra hoteles latinoamericanos
A fines de junio de 2022, HP Wolf Security aisló una campaña de malware inusualmente sigilosa que usaba archivos de texto OpenDocument (.odt) para distribuir malware. OpenDocument es un formato de archivo abierto e independiente del proveedor compatible con varias suites de productividad de oficina populares, incluidas Microsoft Office, LibreOffice y Apache OpenOffice. Como se describe en una publicación de blog de Cisco Talos, la campaña está dirigida a la industria hotelera en América Latina. Los hoteles objetivo son contactados por correo electrónico con solicitudes de reserva falsas. En el caso a continuación, el documento adjunto supuestamente era un documento de registro de invitados.
El malware más buscado de julio de 2022
Después de un pico en el impacto global de Emotet el mes pasado, Emotet ha vuelto a sus números de impacto global y continúa como el malware más extendido. Posiblemente terminó el pico, debido a las vacaciones de verano como se vio en el pasado. Sin embargo, constantemente se descubren nuevas características y mejoras en las capacidades de Emotet, como el desarrollo de su último módulo de ladrón de tarjetas de crédito y los ajustes realizados en sus sistemas de difusión.
Troyano Lampion en mails apocrifos de WeTransfer
Los analistas del Cofense Phishing Defense Center (PDC) analizaron recientemente los correos electrónicos de phishing que solicitan a los usuarios que descarguen una "Prueba de pago" que era el troyano bancario Lampion. El troyano bancario Lampion existe desde 2019, pero esta es la primera vez que Cofense lo analiza. Utilizando la plataforma en la nube de confianza utilizada para los pagos, WeTransfer, los actores de amenazas intentan ganarse la confianza de los usuarios mientras aprovechan el servicio proporcionado por el popular sitio. Al aprovechar un sitio de pago confiable, no sorprende ver que los actores de amenazas alinean su mensaje de correo electrónico para este proceso.
Symbiote Deep-Dive: análisis de una nueva amenaza de Linux casi imposible de detectar
En biología, un simbionte es un organismo que vive en simbiosis con otro organismo. La simbiosis puede ser mutuamente beneficiosa para ambos organismos, pero a veces puede ser parasitaria cuando uno se beneficia y el otro se perjudica. Hace unos meses, descubrimos un nuevo malware para Linux® no detectado que actúa con esta naturaleza parasitaria. Acertadamente hemos llamado a este malware Symbiote.
RiskIQ: CVE-2022-30190: La vulnerabilidad de Follina en la herramienta de diagnóstico de Microsoft MSDT podría conducir a la ejecución de código
CVE-2022-30190, también conocido con el nombre "Follina", existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) usando su protocolo URL desde una aplicación como Microsoft Office o mediante un archivo RTF. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
Bumblebee Malware de TransferXL URLs
El mes pasado, el Grupo de análisis de amenazas (TAG) de Google informó sobre EXOTIC LILY utilizando servicios de transferencia de archivos como TransferNow, TransferXL, WeTransfer o OneDrive para distribuir malware. Leer más aquí. Usando esta información, Duncan encontró un puñado adicional de URL TransferXL activas que entregan archivos ISO para el malware Bumblebee.
EL Grandoreiro Banking Malware Regresa
Trustwave SpiderLabs a principios de abril observó una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Phishing Domains Mimic Fortinet
"Mientras investigamos la infraestructura relacionada con el cargador de malware BUMBLEBEE, encontramos dos dominios sospechosos y varios subdominios que imitan a Fortinet"
Emotet: Nuevo mecanismo de entrega para eludir la protección de VBA
El 26 de abril de 2022, se detectó una nueva campaña de Emotet en la que se reemplazó el sistema de entrega habitual de Office por archivos LNK, en una clara respuesta a la protección VBA lanzada por Microsoft. Los investigadores encontraron 139 archivos LNK distintos que son parte de la misma campaña, entregando dos cargas útiles distintas que comparten la misma infraestructura C2.
BPFDoor: la herramienta china casi desapercibida durante CINCO años es la segunda basada en BPF
Los investigadores han descubierto una herramienta de vigilancia china altamente evasiva que utiliza el filtro de paquetes de Berkeley (BPF). El malware, denominado BPFDoor, está presente en “miles” de sistemas Linux, su controlador ha pasado casi completamente desapercibido para los proveedores de protección de puntos finales a pesar de haber estado en uso durante al menos cinco años.
Public Cloud Cybersecurity Threat Intelligence (202204)
Con la popularidad de los servicios en la nube, los problemas de seguridad en la nube se han vuelto cada vez más importantes. Los atacantes a menudo comprometen los servidores en la nube y usan las máquinas comprometidas para continuar con sus ataques.
SYK Crypter distribuye familias de malware a través de Discord
Con un 50% más de usuarios el año pasado que en 2020, la cantidad de personas que utilizan la plataforma de chat comunitario Discord está creciendo a un ritmo vertiginoso. Esto ha llevado a los ciberdelincuentes a refinar y expandir los casos de uso de ataques maliciosos para la plataforma. En este informe de investigación de amenazas, Morphisec revela cómo los actores de amenazas están utilizando Discord como parte de una cadena de ataque cada vez más popular con un nuevo encriptador SYK diseñado para burlar los controles de seguridad basados en firmas y comportamiento.
Vulnerabilidades de VMware explotadas en estado salvaje (CVE-2022-22954 y otras)
Los productos de VMware corren el riesgo de ser atacados por malware, según un informe publicado por la Unidad 42 de Palo Alto Networks y una Alerta CISA emitida por el gobierno de EE. UU. el 18 de mayo de 2022.
Mirai Malware for Linux Double Down en chips más fuertes
Las variantes del malware Mirai compiladas para servidores Linux y equipos de red con tecnología Intel han aumentado más del 100 % en los últimos tres años, según una investigación de la firma de seguridad CrowdStrike. el primero de su tipo.
La red de bots Emotet vuelve a crecer
Si trabajas en ciberseguridad, probablemente hayas oído hablar de la botnet Emotet. Alguna vez considerada la botnet de malware más grande del mundo hace más de un año, Emotet estaba compuesta por cientos de servidores de comando y control y casi dos millones de víctimas. Emotet era tan grande que se necesitó un esfuerzo conjunto entre los organismos encargados de hacer cumplir la ley y las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania para permitir que los investigadores tomaran el control de los servidores de la botnet, interrumpieran la operación del malware y arrestar a dos operadores.
Grandoreiro Banking Malware resurge para la temporada de impuestos
Los investigadores observaron a principios de abril una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Ladrón de información apunta a billeteras criptográficas a través de una actualización falsa de Windows 11
Desde su aparición en 2008, la criptomoneda ha pasado de ser una oscura tendencia de Internet a una unidad monetaria convencional. El valor creciente de las criptomonedas combinado con el respaldo de figuras públicas ha atraído a usuarios de todo el mundo. Sin embargo, esto también ha llevado a los atacantes a realizar estafas, desarrollar malware e infringir los intercambios de criptomonedas para defraudar a los usuarios y legitimar las empresas de criptomonedas.
Bumblebee Downloader
A partir de marzo de 2022, Proofpoint observó campañas que ofrecían un nuevo descargador llamado Bumblebee. Al menos tres grupos de actividad, incluidos los actores de amenazas conocidos, distribuyen actualmente Bumblebee. Las campañas identificadas por Proofpoint se superponen con la actividad detallada en el blog del Grupo de análisis de amenazas de Google que conduce al ransomware Conti y Diavol.
La variante del ransomware AvosLocker abusa del archivo del controlador para deshabilitar el antivirus
TrendMicro encontró muestras del ransomware AvosLocker que utiliza un archivo de controlador legítimo para deshabilitar las soluciones antivirus y la evasión de detección. Si bien las infecciones anteriores de AvosLocker emplean rutinas similares, esta es la primera muestra que observamos en los EE. UU. con la capacidad de deshabilitar una solución de defensa mediante un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys). Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j Log4shell utilizando el script Nmap NSE.
NetDooka Framework
Nuevo framework de ataque con loader, droper y RAT instalado a traves de Private Loader
Crypto Malware ataca Android e IOs
ESET Research ha descubierto un esquema sofisticado que distribuye malware haciéndose pasar por billeteras de criptomonedas populares en las redes sociales y en el servicio de mensajería Telegram. la primera vez que hemos visto tal esquema.
JSSLoader Trojan entregado a traves de archivos XLL
Una nueva versión ofuscada del troyano de acceso remoto JSSLoader ha sido entregada a las máquinas infectadas a través de archivos XLL, reveló Morphisec Labs.
Uso de cuentas comprometidas de militares Ukranianos para phishing
Los investigadores de Proofpoint han identificado una campaña de phishing que se origina en una dirección de correo electrónico (ukr[.]net) que parece pertenecer a un miembro del servicio armado ucraniano comprometido como parte de TA445.
PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux
La vulnerabilidad se encuentra en el componente pkexec de PolKit, que está en la configuración por defecto de la mayoría de distribuciones Linux. Todas las versiones de PolKit desde la primera introducción de pkexec son vulnerables; es decir, desde la versión 0.113 del año 2009. Todas las distribuciones Major de Linux, inluyendo Ubuntu, Debian, Fedora y CentOS, se ven afectadas, ya que PolKit (antes PolicyKit) es un sistema para la gestión de permisos ampliamente usado en Linux.
Múltiples vulnerabilidades en Samba
Varios investigadores han reportado 3 vulnerabilidades en Samba: 1 de severidad crítica, 1 alta y 1 media. Un atacante podría filtrar información, ejecutar código y suplantar servicios arbitrarios, en caso de explotarlas.
Múltiples vulnerabilidades en productos Cisco
Se han publicado múltiples vulnerabilidades en productos de Cisco que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios, ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.
Operacion Falcon II: Unit 42 ayuda a INTERPOL a detener a los atacantes SilverTerrier BEC
El arresto de 11 actores de amenazas nigerianos en una operación conjunta dirigida por el FBI, la Fuerza de Policía de Nigeria y la Organización Internacional para la Prohibición del Delito Cibernético (INTERPOL) es el último de una serie en curso de investigaciones de delitos cibernéticos.
Log4j Exploit : servidores vulnerables VMWare Horizon en riesgo
Los servidores VMWare Horizon vulnerables corren el riesgo de ser infectados con ransomware debido a una falla de seguridad conocida como Log4j. Las versiones 7.x y 8.x del servidor VMware Horizon son susceptibles a dos de las vulnerabilidades de Log4j (CVE-2021-44228 y CVE-2021-45046). Los expertos en seguridad afirmaron que un grupo de ataque ha estado explotando estas fallas para instalar webshells en servidores comprometidos.
Vulnerabilidad de Seguridad Ejecución remota de código en Microsoft Exchange
Descripción: Una vulnerabilidad de ejecución remota de código (RCE) afecta Microsoft Exchange Server 2013, 2016 y 2019. Impacto: Estas vulnerabilidades afectan a Microsoft Exchange Server en las instalaciones locales (on-premise), incluidos los servidores utilizados por los clientes en el modo híbrido de Exchange. Los clientes de Exchange Online ya están protegidos y no necesitan realizar ninguna acción. Solución: Aplicar la actualización de seguridad
Cyber Suite Irani de malware
El Ciber-comando de Estados Unidos (CYBERCOM) ha identificado múltiples herramientas que los actores de inteligencia Iraní usan en redes alrededor del mundo según un reporte del Departamento de Defensa, la suite de malware Iraní esta compuesta de herramientas de inteligencia OSINT.
Dominios maliciosos durmientes
La firma Palo Alto ha descubierto una serie de dominios maliciosos que han permanecido durmientes en espera de posibilidades de ataque, a traves de patrones de trafico de DNS es posible detectarlos.
Lista de aplicaciones para revisar presencia de vulnerabilidad Log4Shell
El Centro Nacional de Ciberseguridad de Holanda (paises bajos), publico esta lista extensa de aplicaciones con detalles acerca de la presencia de la vulnerabilidad Log4Shell y pasos específicos por aplicacion para mitigarla
Log4Shell
Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica (nuevo descubrimiento), que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (Remote Code Execution). Lo anterior significa que con solo una petición (GET y un string especialmente construido) a un servidor vulnerable, se podría insertar una dirección para que el servidor vulnerable posteriormente ejecutara algún malware. La vulnerabilidad afecta a Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución, por la que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados. Log4j is usada en una gran variedad de servicios al consumidor, sitios web, OT y aplicaciones para generar logs e información de desempeño de sistemas. Un atacante podria explotar esta vulnerabilidad para tomar control del sistema.
grupo TA575 envia phishing con temas navideños
El grupo de atacantes TA575 ha aprovechado la epoca navideña para intensificar sus ataques de phishing y malware utilizando Macros de documentos de office.
Alerta de Phishing (Zero day)
Se ha registrado caso de phishing con origen
Bazar Ransomware
Recuento de las incidencias del ransomware Bazar en el año pasado
Falla en Cisco FWs
Una nueva vulnerabilidad CVE-2021-34704 en los Firewalls Cisco puede afectar el funcionamiento y la confiabilidad de los FWs.
Ransomware Yanluowang
Una nueva familia de ransomware como servicio RaaS se expande por USA segun investigaciones de Symantec
Webscanners 2018 al dia de hoy
Lista de webscanners de AlienVault desde 2018 hasta Diciembre 2021