IBM ha publicado una vulnerabilidad de severidad crítica en su servicio PCOMM que podría permitir a un atacante con pocos privilegios moverse lateralmente a los sistemas afectados y aumentar sus privilegios.
Múltiples vulnerabilidades en HTTP/2 CONTINUATION Flood
El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.
Campaña masiva de phishing golpea a América Latina: Venom RAT apunta a múltiples sectores
El actor de amenazas conocido como TA558 se ha atribuido a una nueva campaña masiva de phishing que se dirige a una amplia gama de sectores en América Latina con el objetivo de implementar Venom RAT.
Datos personales de 73 millones de titulares de cuentas en EE.UU. de AT&T se filtraron a la dark web
AT&T ha iniciado una investigación sobre el origen de una filtración de datos que incluye información personal de 73 millones de clientes actuales y anteriores en Estados Unidos.
Chilango Leaks: hackers de Mexican Mafia atacan al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras
La nueva herramienta GEOBOX secuestra la Raspberry Pi y permite a los atacantes falsificar la ubicación
La nueva herramienta de la Dark Web GEOBOX, vendida por 700 dólares en Telegram y foros clandestinos, secuestra Raspberry Pi, lo que permite a los ciberdelincuentes falsificar ubicaciones y evadir la detección.
FlowFixation Vulnerabilidad de adquisición del servicio AWS Apache Airflow
Tenable Research descubrió una vulnerabilidad de toma de control de cuenta con un solo clic en el servicio Apache Airflow de AWS Managed Workflows que podría haber permitido la toma completa del panel de administración web de la instancia de Airflow de la víctima. El descubrimiento de esta vulnerabilidad ahora resuelta revela un problema más amplio de dominios principales compartidos mal configurados que pone en riesgo a los clientes de los principales CSP.
Ivanti corrige un error crítico de Standalone Sentry informado por la OTAN
Ivanti advirtió a los clientes que parchearan inmediatamente una vulnerabilidad Standalone Sentry de gravedad crítica informada por investigadores del Centro de Seguridad Cibernética de la OTAN.
Atacante supuestamente filtra base de datos de Banregio Grupo Financiero, revelando información confidencial
Un presunto actor de amenazas supuestamente reveló la base de datos de Banregio Grupo Financiero, un grupo financiero en México, con un tamaño de 340 MB y tipos de archivos que incluyen doc, xlsx, csv, sql y html.
SAP parchea vulnerabilidades críticas de inyección de comandos
El fabricante de software empresarial SAP documenta múltiples problemas de gravedad crítica y advierte sobre el riesgo de ataques de inyección de comandos.
Fortinet lanza actualizaciones de seguridad para múltiples productos
Fortinet lanzó actualizaciones de seguridad para abordar las vulnerabilidades en múltiples productos de Fortinet. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
El nuevo ataque Loop DoS afecta a miles de sistemas
Se ha descubierto que un novedoso vector de ataque de denegación de servicio (DoS) se dirige a protocolos de capa de aplicación basados en el Protocolo de datagramas de usuario (UDP), poniendo en riesgo a cientos de miles de hosts.
El grupo hacktivista Anonymous ha reivindicado una reciente violación de las redes administrativas (no operativas) de las instalaciones nucleares de Israel en Dimona como protesta contra la guerra con Gaza.
Cisco lanza actualizaciones de seguridad para software IOS XR
Cisco lanzó actualizaciones de seguridad para abordar vulnerabilidades en el software Cisco IOS XR. Un actor de amenaza cibernética podría explotar una de estas vulnerabilidades para tomar el control de un dispositivo afectado.
CISA anima a los usuarios y administradores a revisar las siguientes advertencias y aplicar las actualizaciones necesarias:
Software Cisco IOS XR para ASR 9000 Series Agregation Services Routers PPPoE Denegabilidad de servicio
Cisco IOS XR Software SSH Privilege Escalada de vulnerabilidadCisco IOS XR Software Layer 2 Servicios Denegación de Vulnerabilidad de servicio
Este producto está sujeto a esta Notificación y a esta Política de Privacidad .
Tarjetas de crédito American Express expuestas en violación de datos de terceros
American Express advierte a sus clientes que las tarjetas de crédito quedaron expuestas en una violación de datos de terceros después de que un procesador comercial fuera pirateado.
La plataforma de inteligencia artificial Hugging Face está plagada de 100 modelos de ejecución de códigos maliciosos
El hallazgo subraya el creciente riesgo de convertir en armas modelos de IA disponibles públicamente y la necesidad de una mejor seguridad para combatir la amenaza inminente.
Los ataques de vishing, smishing y phishing se disparan un 1265% después de ChatGPT
Según Enea, el 76% de las empresas carecen de suficiente protección contra fraudes de voz y mensajes a medida que el vishing y el smishing impulsados por IA se disparan tras el lanzamiento de ChatGPT .
El ataque de phishing MiTM puede permitir a los atacantes desbloquear y robar un Tesla
Los investigadores demostraron cómo podían realizar un ataque de phishing Man-in-the-Middle (MiTM) para comprometer las cuentas de Tesla, desbloquear automóviles y arrancarlos. El ataque funciona en la última aplicación de Tesla, versión 4.30.6, y en la versión 11.1 2024.2.7 del software Tesla.
ComPromptMized: Liberación de gusanos sin clic dirigidos a aplicaciones impulsadas por GenAI
El año pasado, numerosas empresas incorporaron capacidades de IA generativa (GenAI) en aplicaciones nuevas y existentes, formando ecosistemas interconectados de IA generativa (GenAI) que consisten en agentes semi o totalmente autónomos impulsados por servicios GenAI. Si bien las investigaciones en curso resaltaron los riesgos asociados con la capa de agentes GenAI (por ejemplo, envenenamiento de diálogos, filtración de privacidad, jailbreak), surge una pregunta crítica: ¿pueden los atacantes desarrollar malware para explotar el componente GenAI de un agente y lanzar ataques cibernéticos en todo el GenAI?
El gigante siderúrgico ThyssenKrupp confirma un ciberataque a su división de automoción
El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división Automotriz la semana pasada, obligándolos a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.
La campaña TimbreStealer apunta a usuarios mexicanos con señuelos financieros
Esta campaña utiliza correos electrónicos de phishing con temas financieros, dirigiendo a los usuarios. a un sitio web comprometido donde está alojada la carga útil y engañarlos para que ejecuten la aplicación maliciosa.
Nitesh Surana (@_niteshsurana) de Trend Micro Research, ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto ejecutar código arbitrario.
Ejército monitorea redes sociales para identificar críticos de militares y del Gobierno, crea bots para influenciar web
El Centro de Operaciones para el Ciberespacio de Sedena cuenta con el software HIWIRE usado para monitorear a personas usuarias de redes sociales que hacen publicacions críticas al Ejército y al Gobierno federal, de acuerdo con documentos obtenidos por el Colectivo Guacamaya.
Subdominios secuestrados de marcas importantes utilizados en campaña masiva de spam
Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.
Sólo cinco días después de que un esfuerzo internacional de aplicación de la ley se apoderara de los sitios de filtración de LockBit , 34 servidores y 14.400 cuentas de correo electrónico fraudulentas utilizadas para respaldar la infraestructura y la extorsión, LockBit3.0 ha reaparecido con un nuevo sitio Tor que se parece al anterior.
Tanto los detalles técnicos como las pruebas de concepto están disponibles para las dos vulnerabilidades que ConnectWise reveló a principios de esta semana para ScreenConnect, su software de acceso y escritorio remoto.
Venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
En otro incidente en una linea interminable de fallas de ciberseguridad del actual gobierno venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
El troyano GoldPickaxe combina el robo de datos biométricos y los deepfakes para estafar a los bancos
Los investigadores de seguridad han advertido sobre un nuevo y sofisticado troyano diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios.
vulnerabilidad crítica MonikerLink en Microsoft Outlook
Manejo de hipervínculos en Outlook: la investigación demuestra que los hipervínculos “file://” se pueden manipular de cierta manera, lo que resulta en eludir las medidas de seguridad de Outlook, como la Vista protegida.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
Empresa pierde 25,6 millones de dólares debido a una conferencia telefónica deepfake.
Un empleado de la empresa fue invitado a una videollamada grupal llena de funcionarios de la empresa con deepfaking, incluido lo que parecía ser el director financiero de la empresa.
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
[Actualización 09/02/2024] Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Bancos mexicanos y plataformas de criptomonedas atacadas con Troyano AllaKore RAT
Un actor de amenazas motivado financieramente está apuntando a bancos mexicanos y entidades de comercio de criptomonedas con instaladores empaquetados personalizados que ofrecen una versión modificada de AllaKore RAT, una herramienta de acceso remoto de código abierto.
Tesla hackeado de nuevo, 24 días cero más explotados en competencia Pwn2Own Tokyo
Los investigadores de seguridad hackearon el sistema de infoentretenimiento de Tesla y demostraron 24 días cero más en el segundo día de la competencia de piratería Pwn2Own Automotive 2024.
El 12 de diciembre de 2023, se notificó a Hewlett Packard Enterprise Company que un presunto actor de estado-nación, que se cree que es el actor de amenazas Midnight Blizzard, el actor patrocinado por el estado también conocido como Cozy Bear, había obtenido acceso no autorizado al entorno de correo electrónico basado en la nube de HPE.
Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. En caso de tener acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.
Servidores de GitLab son vulnerables a los ataques de apropiación de cuentas sin clics que explotan la falla CVE-2023-7028.
La vulnerabilidad más crítica, rastreada como CVE-2023-7028 (puntuación CVSS 10), es la apropiación de una cuenta a través del restablecimiento de contraseña. La falla se puede explotar para secuestrar una cuenta sin ninguna interacción.
Mozilla lanza actualizaciones de seguridad para Thunderbird y Firefox
Mozilla ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades en Thunderbird y Firefox. Un actor de amenazas cibernéticas podría explotar una de estas vulnerabilidades para tomar el control de un sistema afectado.
Los estafadores se hacen pasar por representantes de recursos humanos y envían correos electrónicos maliciosos con enlaces que conducen a sitios de phishing o archivos adjuntos que pueden descargar malware. En los últimos seis meses, los investigadores han visto un aumento notable en el spam malicioso relacionado con recursos humanos, que se espera que continúe.
Explorando FBot | Malware basado en Python dirigido a servicios de pago.
FBot es una herramienta de piratería basada en Python distinta de otras familias de malware en la nube, dirigida a servidores web, servicios en la nube y plataformas SaaS como AWS, Office365, PayPal, Sendgrid y Twilio.
IA utilizada para falsificar las voces de los seres queridos en la estafa de accidente.
El San Francisco Chronicle cuenta la historia de una familia que casi fue estafada cuando escucharon la voz de su hijo diciéndoles que había tenido un accidente automovilístico y lastimado a una mujer embarazada.
El nuevo método iShutdown expone el spyware oculto como Pegasus en tu iPhone
Los investigadores de ciberseguridad han identificado un "método ligero" llamado iShutdown para identificar de manera confiable signos de spyware en dispositivos iOS de Apple, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.
GitLab advierte de una vulnerabilidad crítica de secuestro de cuentas de click cero
GitLab ha lanzado actualizaciones de seguridad tanto para Community como para Enterprise Edition para abordar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario.
Cómo evitar y denunciar las estafas con tarjetas de regalo
Solo los estafadores le dirán que compre una tarjeta de regalo, como una tarjeta de Google Play o Apple Card, y les darán los números del reverso de la tarjeta. No importa lo que digan, eso es una estafa.
Tenga cuidado con las estafas relacionadas con las tarjetas de regalo de Apple, las tarjetas de regalo de App Store y iTunes, y las tarjetas de regalo de Apple Store.
Tres nuevos paquetes maliciosos de PyPI implementan CoinMiner
FortiGuard ha identificado tres nuevos paquetes maliciosos de PyPI que despliegan un ejecutable CoinMiner en dispositivos Linux, en un análisis publicado en la revista Security Research Review (PSIRT) el miércoles.
China afirma que descifró el AirDrop de Apple para encontrar números y direcciones de correo electrónico
Un instituto de investigación respaldado por el estado chino afirma haber descubierto cómo descifrar los registros de dispositivos para la función AirDrop de Apple, lo que permite al gobierno identificar números de teléfono o direcciones de correo electrónico de quienes compartieron contenido.
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Cómo las alucinaciones de la IA dificultan la caza de bugs
Los programas de recompensas por errores que pagan a las personas por encontrar errores son una herramienta muy útil para mejorar la seguridad del software. Pero con la disponibilidad de la inteligencia artificial (IA) como se ve en los populares modelos de lenguaje grande (LLM) como ChatGPT, Bard y otros, parece que hay un nuevo problema en el horizonte.
El administrador de BreachForums encarcelado de nuevo por usar una VPN y PC sin supervisión
El administrador detrás del notorio foro de piratería BreachForums ha sido arrestado nuevamente por violar las condiciones de liberación previa al juicio, incluido el uso de una computadora no monitoreada y una VPN.
Los usuarios de X están hartos del flujo constante de anuncios de criptomonedas maliciosos
Los ciberdelincuentes están abusando de los anuncios X para promocionar sitios web que conducen a drenadores de criptomonedas, lanzamientos aéreos falsos y otras estafas.
Cuenta oficial X de la SEC fue comprometida y utilizada para publicar noticias falsas de Bitcoin
El regulador financiero de EE. UU. dice que su cuenta oficial de @SECGov estaba "comprometida", lo que resultó en una publicación "no autorizada" sobre el estado de los ETF de Bitcoin.
Ivanti ha descubierto una vulnerabilidad crítica en su producto EPM (Endpoint Manager), de tipo inyección SQL, cuya explotación podría permitir a un atacante remoto ejecutar código.
La cuenta de Mandiant en X fue hackeada para impulsar una estafa de criptomonedas
La cuenta de Twitter de la empresa estadounidense de ciberseguridad y subsidiaria de Google, Mandiant, fue secuestrada hoy para hacerse pasar por la billetera criptográfica Phantom y compartir una estafa de criptomonedas.
detección temprana de dominios malintencionados almacenados
Los actores maliciosos a menudo adquieren una gran cantidad de nombres de dominio (llamados dominios almacenados) al mismo tiempo o configuran su infraestructura de manera automatizada. Lo hacen, por ejemplo, mediante la creación de configuraciones de DNS y certificados para estos dominios mediante scripts.
Las superposiciones en la focalización, las características del malware y la evolución del malware a largo plazo después de 2018 sugieren que es probable que los subgrupos de Gaza Cybergang se hayan estado consolidando
Un informe describe cómo el grupo detrás de Lumma Stealer y el malware 7z-soft evadió la detección durante más de un año y actualmente está siendo investigado por Microsoft.
número creciente de aplicaciones maliciosas de préstamos de Android
Los investigadores han identificado un número creciente de aplicaciones maliciosas de préstamos de Android que se utilizan para chantajear y defraudar a los usuarios, y están disponibles para descargar desde tiendas de aplicaciones y sitios web de terceros.
Contrabando SMTP: cómo elude fácilmente sus defensas de correo electrónico
Una técnica recién descubierta que hace un mal uso de los comandos SMTP permite a los ciberdelincuentes pasar las comprobaciones SPF, DKIM y DMARC, lo que permite que los correos electrónicos suplantados lleguen a su víctima.
Atomic Stealer se distribuye a los usuarios de Mac a través de actualizaciones falsas del navegador
MalwareBytes informa que Atomic Stealer (también conocido como AMOS) ahora se está entregando a los usuarios de Mac a través de una cadena de actualización de navegador falsa rastreada como ClearFake.
Vulnerabilidad CVE-2023-46604 (Apache ActiveMQ) explotada para infectar sistemas con criptomineros y rootkits
Trend Vision descubrió la explotación activa de la vulnerabilidad CVE-2023-46604 de Apache ActiveMQ para descargar e infectar sistemas Linux con el malware Kinsing (también conocido como h2miner) y el minero de criptomonedas.
Associated Press, ESPN y CBS entre los principales sitios que ofrecen alertas falsas de virus
ScamClub es un actor de amenazas que ha estado involucrado en actividades de publicidad maliciosa desde 2018. Lo más probable es que te hayas encontrado con una de sus estafas en línea en tu dispositivo móvil. ScamClub es ingenioso y sigue teniendo un profundo impacto en el ecosistema publicitario.
Publicación de la falla PoC para RCE de Splunk Enterprise (CVE-2023-46214)
Se ha hecho público un exploit de prueba de concepto (PoC) para una falla de alta gravedad en Splunk Enterprise (CVE-2023-46214) que puede conducir a la ejecución remota de código.
Omisión de autenticación en VMware Cloud Director Appliance
Dustin Hartle, de Ideal Integrations Inc, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante omitir los mecanismos de autenticación del producto afectado.
Actualización de seguridad de SAP de noviembre de 2023
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 3 notas de seguridad, 1 de severidad crítica y 2 medias. También, se han actualizado 3 notas se seguridad de meses anteriores.
Microsoft corrige cinco vulnerabilidades de día cero
Microsoft ha lanzado correcciones para cinco vulnerabilidades de día cero en su ronda de actualizaciones mensuales, tres de las cuales están siendo explotadas activamente.
Una banda de ransomware presenta una queja ante la SEC por una infracción no revelada de la víctima
La operación de ransomware ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una queja ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ataque cibernético.
Hacktivistas irrumpen en laboratorio de investigación nuclear de EE. UU. y roban datos de empleados
El Laboratorio Nacional de Idaho (INL) confirma que sufrió un ciberataque después de que hacktivistas de SiegedSec filtraran en línea datos de recursos humanos robados.
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría provocar la ejecución de código arbitrario y pérdida de memoria.
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Malvertiser copia un sitio de noticias para PC para ofrecer un info-stealer
Los investigadores han identificado una nueva campaña de publicidad maliciosa que utiliza una plantilla que parece casi idéntica a un portal de noticias legítimo de Windows y entrega un instalador de software malicioso a las víctimas.
La aplicación Fake Ledger Live en Microsoft Store roba $768,000 en criptomonedas
Publicada con el nombre Ledger Live Web3, la aplicación falsa parece haber estado presente en Microsoft Store desde el 19 de octubre, pero el robo de criptomonedas comenzó a reportarse hace apenas un par de días.
Sitio web de Cloudflare caído por ataque DDoS reivindicado por Anonymous Sudan
Un grupo de amenazas conocido como Anonymous Sudan afirmó que fueron ellos quienes cerraron el sitio web de Cloudflare en un ataque distribuido de denegación de servicio (DDoS).
QNAP advierte sobre fallas críticas en la inyección de comandos en el sistema operativo y las aplicaciones QTS
QNAP Systems publicó avisos de seguridad para dos vulnerabilidades críticas de inyección de comandos que afectan múltiples versiones del sistema operativo QTS y aplicaciones en sus dispositivos de almacenamiento conectado a la red (NAS).
falla de día cero de SysAid explotada en ataques de ransomware Clop
Los actores de amenazas están explotando una vulnerabilidad de día cero en el software de gestión de servicios SysAid para obtener acceso a servidores corporativos para robar datos e implementar el ransomware Clop.
Google advierte cómo los piratas informáticos podrían abusar del servicio de calendario como canal C2 encubierto
Google advierte sobre múltiples actores de amenazas que comparten un exploit público de prueba de concepto (PoC) que aprovecha su servicio Calendario para alojar la infraestructura de comando y control (C2).
Se puede abusar de la red -Find My- de Apple para robar contraseñas registradas
Actores maliciosos pueden abusar de la red de ubicación "Find My" de Apple para transmitir sigilosamente información confidencial capturada por registradores de teclas instalados en los teclados.
Múltiples vulnerabilidades 0day en Microsoft Exchange
Piotr Bazydlo, de la iniciativa Trend Micro Zero Day, ha reportado 4 vulnerabilidades de severidad alta que permite a los atacantes remotos revelar información confidencial y ejecutar código arbitrario sobre las instalaciones afectadas de Microsoft Exchange.
Cómo Kopeechka, un servicio automatizado de creación de cuentas de redes sociales, puede facilitar el ciberdelito
Este informe explora el servicio Kopeechka y brinda un análisis técnico detallado de las características y capacidades del servicio y cómo puede ayudar a los ciberdelincuentes a lograr sus objetivos.
iLeakage: ataques de ejecución especulativa sin temporizador basados en navegador en dispositivos Apple
Presentamos iLeakage, un canal lateral de ejecución transitoria dirigido al navegador web Safari presente en Mac, iPad y iPhone. iLeakage muestra que el ataque Spectre sigue siendo relevante y explotable, incluso después de casi seis años de esfuerzos para mitigarlo desde su descubrimiento.
Advertencia de problemas F5: la vulnerabilidad BIG-IP permite la ejecución remota de código
F5 ha alertado a los clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría provocar la ejecución remota de código no autenticado.
La vacante de empleo falsa de Corsair apunta a los usuarios de LinkedIn con el malware DarkGate
Los investigadores de la empresa de seguridad WithSecure han descrito cómo se publican oportunidades laborales falsas en LinkedIn con la intención de difundir malware.
Microsoft hace sonar la alarma sobre Octo Tempest de habla inglesa
Microsoft ha descrito al grupo Octo Tempest (también conocido como Scattered Spider, 0ktapus, UNC3944) como “uno de los grupos criminales financieros más peligrosos” que operan en la actualidad.
Este martes el Aeropuerto Intercontinental de Querétaro (AIQ) registró un ciberataque en su sistema, sin embargo, se informa a los proveedores, usuarios y público en general que el equipo de expertos ya está trabajando para solucionar el problema.
Grupos hacktivistas utilizan desfiguraciones en el conflicto de Hamás con Israel
Los ataques de desfiguración implican la modificación no autorizada o el vandalismo de un sitio web o aplicación web. Estos ataques normalmente resultan en la alteración del contenido, la apariencia o la funcionalidad del sitio web por parte de atacantes con intenciones maliciosas.
Cuando PAM se vuelve deshonesto: el malware utiliza módulos de autenticación maliciosamente
En este artículo, exploraremos el uso de interfaces de programación de aplicaciones (API) del módulo de autenticación conectable (PAM) en software malicioso. También demostraremos por qué podría ser útil vigilar las API de PAM en un entorno de espacio aislado.
Vulnerabilidad 0day en protocolo HTTP/2 "Rapid Reset"
Cloudfare, en colaboración con Google y Amazon AWS, ha publicado la existencia de una vulnerabilidad 0day denominada ataque "HTTP/2 Rapid Reset". Explotando esta vulnerabilidad del protocolo HTTP/2 se podrían provocar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
El extensor de alcance WiFi D-Link vulnerable a ataques de inyección de comandos
El popular extensor de alcance D-Link DAP-X1860 WiFi 6 es susceptible a una vulnerabilidad que permite ataques DoS (denegación de servicio) e inyección remota de comandos.
Los ataques de LinkedIn Smart Links vuelven a apuntar a cuentas de Microsoft
Los piratas informáticos una vez más están abusando de los enlaces inteligentes de LinkedIn en ataques de phishing para eludir las medidas de protección y evadir la detección en intentos de robar credenciales de cuentas de Microsoft.
Múltiples vulnerabilidades en la función de interfaz de usuario web del software Cisco IOS XE
Cisco proporciona una actualización para la investigación en curso sobre la explotación observada de la función de interfaz de usuario web en el software Cisco IOS XE.
La operación de defensa israelí Cyber Dome impulsada por IA cobra vida
Los israelíes están construyendo un sistema de ciberdefensa que utilizará plataformas de inteligencia artificial generativa similares a ChatGPT para analizar inteligencia sobre amenazas.
La aplicación maliciosa “RedAlert - Rocket Alerts” apunta a llamadas telefónicas, SMS e información de usuarios israelíes
El 13 de octubre de 2023, el equipo de operaciones contra amenazas Cloudforce One de Cloudflare se dio cuenta de que un sitio web alojaba una aplicación de Google para Android (APK) que se hacía pasar por la aplicación legítima RedAlert - Rocket Alerts.
Hasta ahora, el uso de novedosos malware/scareware y herramientas como Redline Stealer y PrivateLoader por parte de estos actores de amenazas continúa apuntando a ciudadanos, empresas y entidades del sector crítico israelíes, causando fugas de datos e interrupciones generalizadas.
En una investigación en profundidad realizada por Palo Alto Networks se ha descubierto un nuevo troyano XorDDoS, que infecta dispositivos Linux y los utiliza para llevar a cabo ataques distribuidos de denegación de servicio.
Actor de amenazas cibernéticas vinculado a Gaza apunta a los sectores de energía y defensa israelíes
Un actor de amenazas con sede en Gaza ha sido vinculado a una serie de ataques cibernéticos dirigidos a organizaciones israelíes de energía, defensa y telecomunicaciones del sector privado.
Millones de servidores de correo Exim expuestos a ataques RCE de día cero
Una vulnerabilidad crítica de día cero en todas las versiones del software del agente de transferencia de correo (MTA) de Exim puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.
Progress advierte sobre la vulnerabilidad del servidor WS_FTP de gravedad máxima
Progress Software, el fabricante de la plataforma de intercambio de archivos MOVEit Transfer recientemente explotada en ataques generalizados de robo de datos, advirtió a los clientes que parchearan una vulnerabilidad de máxima gravedad en su software de servidor WS_FTP.
Tequila OS 2.0: La primera distribución Linux forense en Latinoamérica
Estudiantes de la Universidad Nacional Autónoma de México desarrollaron Tequila OS 2.0, la primera distribución Linux en América Latina, especializándose en realizar análisis forenses en español.
Darkbeam fuga millones de combinaciones de correos y contraseñas
DarkBeam dejó desprotegida una interfaz de Elasticsearch y Kibana, exponiendo registros de violaciones de datos reportadas y no reportadas anteriormente.
Múltiples investigadores han reportado 61 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
Apple comunica que estas vulnerabilidades afectan a los componentes Kernel y WebKit y están siendo explotadas activamente.
Flipper Zero, el Tamagotchi para hackers, presenta su nueva versión
El "tamagochi de los hackers" lanza una edición limitada transparente. Es tan exclusivo que un mismo cliente no podrá comprar más de dos unidades y la tirada está limitada a solo 7.500 unidades.
Estafador de BEC se declara culpable de participar en un plan de 6 millones de dólares
Un nigeriano extraditado a Estados Unidos se había declarado culpable de su participación en una conspiración multimillonaria para comprometer correos electrónicos comerciales (BEC).
Detrás de escena de BBTok: análisis de los componentes del lado del servidor del malware bancario
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina. En la investigación, destacamos cadenas de infección recientemente descubiertas que utilizan una combinación única de binarios Living off the Land (LOLBins). Esto da como resultado bajas tasas de detección, a pesar de que BBTok Banker opera al menos desde 2020. Mientras analizamos la campaña, encontramos algunos de los recursos del lado del servidor del actor de amenazas utilizados en los ataques, dirigidos a cientos de usuarios en Brasil y México.
Trend Micro corrige la protección de endpoints de día cero utilizada en ataques
Trend Micro solucionó una vulnerabilidad de día cero de ejecución remota de código en la solución de protección de terminales Apex One de Trend Micro que fue explotada activamente en los ataques.
Bill Marczak, de The Citizen Lab de la Escuela Munk de la Universidad de Toronto, y Maddie Stone, de Google Threat Analysis Group, han reportado 3 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
38 TB de datos expuestos accidentalmente por investigadores de inteligencia artificial de Microsoft
Wiz Research encontró un incidente de exposición de datos en el repositorio GitHub de IA de Microsoft, incluidos más de 30.000 mensajes internos de Microsoft Teams, todos causados por un token SAS mal configurado.
La organización de agua de EE. UU. y Canadá confirma un incidente de ciberseguridad
La Comisión Conjunta Internacional, un organismo que gestiona los derechos de agua a lo largo de la frontera entre Estados Unidos y Canadá, confirmó que su seguridad informática fue atacada, luego de que una banda de ransomware afirmara que robó 80 GB de datos de la organización.
El ataque LockBit falla, el ransomware 3AM interviene como plan B
Los investigadores identificaron recientemente una nueva cepa de ransomware llamada 3AM. Su investigación reveló que el primer uso conocido de este ransomware se produjo cuando los actores de amenazas lo sustituyeron por el ransomware LockBit en un ataque fallido.
Advertencia de CISA: Hackers de los estados-nación explotan las vulnerabilidades de Fortinet y Zoho
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda una vulnerabilidad crítica. Una explotación exitosa podría conducir a la ejecución de código arbitrario.
Adobe es consciente de que CVE-2023-26369 ha sido explotado libremente en ataques limitados dirigidos a Adobe Acrobat y Reader.
MGM Resorts cierra sus sistemas informáticos tras un ciberataque
MGM Resorts International reveló hoy que está lidiando con un problema de ciberseguridad que afectó a algunos de sus sistemas, incluido su sitio web principal, reservas en línea y servicios en el casino, como cajeros automáticos, máquinas tragamonedas y máquinas de tarjetas de crédito.
Poderosa milicia étnica de Myanmar repatria a 1.200 chinos sospechosos de estar implicados en delitos cibernéticos
Una de las milicias de minorías étnicas más grandes y poderosas de Myanmar arrestó y repatrió a más de 1.200 ciudadanos chinos presuntamente involucrados en operaciones criminales de estafa en línea.
El último truco de XLoader | Nueva variante de macOS disfrazada de OfficeNote firmada
XLoader ha regresado en una nueva forma y sin dependencias. Escrito de forma nativa en los lenguajes de programación C y Objective C y firmado con la firma de un desarrollador de Apple, XLoader ahora se hace pasar por una aplicación de productividad de oficina llamada "OfficeNote".
Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet
William Costa, del equipo CSE de Fortinet, ha notificado una vulnerabilidad de severidad alta que podría permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso en una página de gestión de invitados.
Routers ASUS se ven afectados por 3 nuevas fallas de RCE
Tres vulnerabilidades críticas de ejecución remota de código en los enrutadores ASUS permiten potencialmente a los atacantes secuestrar los dispositivos de red.
Boletín de seguridad de Android de septiembre de 2023
El boletín de Android, relativo a septiembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).
El kit de phishing W3LL secuestra cuentas de Microsoft 365 y elude MFA
Un actor de amenazas conocido como W3LL desarrolló un kit de phishing que puede eludir la autenticación multifactor junto con otras herramientas que comprometieron más de 8000 cuentas corporativas de Microsoft 365.
Las actualizaciones de VMware Aria Operations for Networks abordan múltiples vulnerabilidades. (CVE-2023-34039, CVE-2023-20890)
Se informaron de manera responsable a VMware múltiples vulnerabilidades en Aria Operations for Networks. Hay actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.
Servidores de correo electrónico del gobierno de EE. UU. pirateados en ataques de dispositivos Barracuda (seguimiento).
Presuntos piratas informáticos chinos atacaron organizaciones vinculadas a gobiernos en todo el mundo en ataques recientes dirigidos a un Barracuda Email Security Gateway (ESG) de día cero, con un enfoque en entidades de toda América.
Comportamientos extraños en dominios de nivel superior crean incertidumbre en DNS
Google presentó el nuevo dominio de nivel superior (TLD) “.zip” el 3 de mayo de 2023, lo que provocó una tormenta de controversia cuando las organizaciones de seguridad advirtieron contra la confusión que seguramente ocurriría.
Vulnerabilidad del dispositivo de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda
Mandiant evalúa que un número limitado de víctimas previamente afectadas que no han seguido las instrucciones de Barracuda para reemplazar sus electrodomésticos afectados aún pueden enfrentar riesgos asociados con esto.
CVE-2023-38035: Vulnerabilidad que afecta a Ivanti Sentry
Se ha descubierto una vulnerabilidad en Ivanti Sentry, anteriormente MobileIron Sentry. Hemos informado esto como CVE-2023-38035. Esta vulnerabilidad afecta a todas las versiones compatibles: versiones 9.18. 9.17 y 9.16. Las versiones/lanzamientos anteriores también están en riesgo.
DEF CON 31: El Departamento de Defensa de EE. UU. insta a los piratas informáticos a piratear la "IA"
El Dr. Craig Martell, director de Inteligencia Digital y Artificial del Departamento de Defensa de los Estados Unidos, hizo un llamado a la audiencia en DEF CON 31 en Las Vegas para que piratearan modelos de lenguaje grandes (LLM).
La primera actualización de seguridad semanal de Chrome corrige vulnerabilidades de alta gravedad
Google ha lanzado la primera actualización de seguridad semanal de Chrome, que corrige cinco vulnerabilidades de seguridad de la memoria, incluidas cuatro clasificadas como de "alta gravedad".
#OPFUKUSHIMA: GRUPO ANONYMOUS PROTESTA CONTRA EL PLAN DE VERTER AGUAS RESIDUALES RADIACTIVAS DE FUKUSHIMA AL PACÍFICO
El famoso colectivo Anonymous ha lanzado ciberataques contra sitios web nucleares japoneses en relación con el plan hidráulico contaminante de Fukushima.
Hackers adolescentes de Lapsus$ condenados por ciberataques de alto perfil
Un jurado de Londres determinó que un miembro de 18 años de la banda de extorsión de datos Lapsus$ ayudó a piratear varias empresas de alto perfil, les robó datos y exigió un rescate amenazando con filtrar la información.
Cuba Ransomware implementa nuevas herramientas: apunta al sector de infraestructura crítica
Los investigadores han descubierto y documentado nuevas herramientas utilizadas por el grupo de amenazas de ransomware Cuba. El ransomware Cuba se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración.
Los piratas informáticos abusan cada vez más de los túneles de Cloudflare para conexiones sigilosas
Los piratas informáticos abusan cada vez más de la función legítima de los túneles de Cloudflare para crear conexiones HTTPS sigilosas desde dispositivos comprometidos, eludir los firewalls y mantener la persistencia a largo plazo.
Microsoft corrige más de 80 fallas, incluidas dos de día cero
Microsoft lanzó ayer actualizaciones para 87 vulnerabilidades, incluidas dos que se están explotando activamente en la naturaleza.
El primer día cero se reveló públicamente en el Patch Tuesday del mes pasado, según el ingeniero de investigación sénior de Tenable, Satnam Narang.
CISA publica informes de análisis de malware en Backdoor de Barracuda
CISA ha publicado un informe de análisis de malware adicional asociado con la actividad maliciosa de Barracuda. El informe proporciona un análisis de cuatro muestras de malware.
SiegedSec Hacktivist afirma atacar a la OTAN y filtrar documentos confidenciales
En su canal Telegram, el grupo SiegedSec afirmó que su pirateo de la OTAN no tiene nada que ver con la guerra entre Rusia y Ucrania, y simplemente destaca los abusos de los derechos humanos por parte de la OTAN.
Base de datos de BreachForums y chats privados a la venta en filtración
Si bien los consumidores suelen ser los que se preocupan por la exposición de su información en las filtraciones de datos, ahora es el turno de los piratas informáticos, ya que la base de datos del notorio foro de delitos cibernéticos Breached está a la venta y los datos de los miembros se comparten con Have I Been Pwned.
El sitio web de la refinería de petróleo más grande de Israel fuera de línea después del ataque DDoS
El sitio web del operador de refinería de petróleo más grande de Israel, BAZAN Group, es inaccesible desde la mayor parte del mundo, ya que los actores de amenazas afirman haber pirateado los sistemas cibernéticos del Grupo.
Los piratas informáticos respaldados por Rusia utilizaron Microsoft Teams para violar las agencias gubernamentales
Los piratas informáticos patrocinados por el estado ruso se hicieron pasar por personal de soporte técnico en los equipos de Microsoft para comprometer a docenas de organizaciones globales, incluidas las agencias gubernamentales.
Fenix Cybercrime Group se hace pasar por autoridades fiscales para apuntar a usuarios latinoamericanos
Las personas que pagan impuestos en México y Chile han sido atacadas por un grupo de ciberdelincuencia con sede en México que se hace llamar Fenix para violar redes específicas y robar datos valiosos.
Servicios de atención primaria de EE. UU. cerrados después de un ataque cibernético
Un ataque cibernético generalizado en los sistemas informáticos de los hospitales ha causado interrupciones significativas en los Estados Unidos, lo que ha provocado el cierre de salas de emergencia en varios estados y el desvío de ambulancias.
Dog Hunt: Encontrar el kit de herramientas para Decoy Dog a través del tráfico DNS anómalo
A medida que los actores de amenazas han madurado durante la última década, han aprendido a evadir los métodos de detección estándar de la industria y se adaptan constantemente. Se sabe que a menudo registran un dominio, pero no lo usan por un tiempo: una técnica llamada envejecimiento estratégico.
Botnet Fenix: Nueva botnet que persigue a los contribuyentes en México y Chile
Los investigadores descubrieron recientemente un grupo local que creó una nueva botnet autoproclamada como "Fenix", que apunta específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile.
El equipo Qualys Threat Research Unit (TRU) ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto ejecutar comandos arbitrarios a través del ssh-agent de OpenSSH.
Chrome 115 se lanzó con parches para 20 vulnerabilidades, incluidas 11 informadas por investigadores externos, que ganaron miles de dólares en recompensas de "bug bounty".
Caimán manipulado: la sofisticada trampa de los depredadores bancarios de México
Quitando las capas de engaño, nos adentramos en una compleja operación de phishing que los investigadores de Perception Point han denominado "Caimán manipulado".
WormGPT, la herramienta de IA generativa para lanzar sofisticados ataques BEC
Investigadores de SlashNext advierten sobre los peligros relacionados con una nueva herramienta generativa de cibercrimen de IA denominada WormGPT. Dado que los chatbots como ChatGPT llegaron a los titulares, los expertos en seguridad cibernética advirtieron sobre posibles abusos de la inteligencia artificial (IA) generativa que los ciberdelincuentes pueden explotar para lanzar ataques sofisticados.
Una computadora que vuela cientos o incluso miles de kilómetros en el cielo, a una velocidad de decenas de miles de kilómetros por hora, sigue siendo, sin embargo, una computadora. Y cada computadora conectada tiene una superficie de ataque.
Fortinet lanza actualización de seguridad para FortiOS y FortiProxy
Fortinet ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica (CVE-2023-33308) que afecta a FortiOS y FortiProxy. Un atacante remoto puede aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
CISA alienta a los usuarios y administradores a revisar la versión de seguridad de Fortinet FG-IR-23-183 y aplicar las actualizaciones necesarias.
El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas
Hoy es dia de parches Microsoft, con actualizaciones de seguridad para 132 fallas, incluidas seis vulnerabilidades explotadas activamente y treinta y siete vulnerabilidades de ejecución remota de código.
Si bien se corrigieron treinta y siete errores de RCE, Microsoft solo calificó nueve como "Críticos". Sin embargo, una de las fallas de RCE permanece sin parchear y se explota activamente en ataques vistos por numerosas empresas de ciberseguridad.
Typo envía millones de correos electrónicos militares estadounidenses al aliado ruso Mali
Millones de correos electrónicos militares de EE. UU. se han enviado por error a Malí, un aliado de Rusia, debido a un error de escritura menor.
Los correos electrónicos destinados al dominio ".mil" del ejército estadounidense se han enviado durante años al país de África occidental que termina con el sufijo ".ml".
La Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Mientras aun se espera el catalogado y publicación de los 6TB de documentos filtrados por el grupo "Guacamaya" , la Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Nueva herramienta explota el error de Microsoft Teams para enviar malware a los usuarios
Un miembro del "Red Team" del US Navy ha publicado una herramienta llamada TeamsPhisher que aprovecha un problema de seguridad no resuelto en Microsoft Teams para eludir las restricciones de archivos entrantes de usuarios fuera de una organización objetivo, los llamados inquilinos externos.
Progress Software lanza Service Pack para vulnerabilidades de transferencia de MOVEit
Progress Software ha lanzado un Service Pack para abordar tres vulnerabilidades recientemente reveladas (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) en MOVEit Transfer. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para obtener información confidencial.
CISA alienta a los usuarios a revisar el artículo MOVEit Transfer de Progress Software y aplicar las actualizaciones del producto según corresponda para mejorar la seguridad.
Pirata informático con sede en México apunta a bancos globales con malware para Android
Un atacante de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un actor cuyo nombre en código es Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
Más de 300 000 firewalls de Fortinet son vulnerables a errores críticos de FortiOS RCE
Cientos de miles de firewalls FortiGate son vulnerables a un problema de seguridad crítico identificado como CVE-2023-27997, casi un mes después de que Fortinet publicara una actualización que soluciona el problema.
La vulnerabilidad es una ejecución remota de código con una puntuación de gravedad de 9,8 sobre 10 como resultado de un problema de desbordamiento de búfer basado en heap en FortiOS, el sistema operativo que conecta todos los componentes de red de Fortinet para integrarlos en la plataforma Security Fabric del proveedor.
Hackers afirman inhabilitar al proveedor ruso de comunicaciones por satélite.
Un grupo de hackers previamente desconocidos se atribuyó la responsabilidad de un ataque cibernético contra el proveedor ruso de comunicaciones por satélite Dozor-Teleport, que es utilizado por las empresas de energía y los servicios de defensa y seguridad del país.
Las autoridades estadounidenses confiscan el dominio BreachForums
El gobierno de EE. UU. finalmente parece haber capturado los dominios de clear web asociados con el notorio mercado de filtraciones BreachForums, a pesar del arresto del propietario del sitio hace meses.
Vulnerabilidad de día cero ESG de Barracuda (CVE-2023-2868) explotada globalmente por un actor agresivo y hábil, presuntos vínculos con China
El 23 de mayo de 2023, Barracuda anunció que una vulnerabilidad de día cero (CVE-2023-2868) en Barracuda Email Security Gateway (ESG) había sido explotada "in the wild" , en octubre de 2022 contrataron a Mandiant para ayudar en la investigacion, Mandiant identificó a un presunto actor con nexos con China, actualmente rastreado como UNC4841, apuntando a un subconjunto de dispositivos Barracuda ESG utilizados como vector de espionaje, que abarca una multitud de regiones y sectores. Mandiant evalúa con gran confianza que UNC4841 es un agente de espionaje detrás de esta amplia campaña en apoyo de la República Popular China.
RecordBreaker Infostealer disfrazado de instalador .NET
Si el malware se ejecuta en un entorno de usuario normal, el archivo de malware cifrado se descarga del servidor del autor de la amenaza y se ejecuta. El malware en este caso es RecordBreaker (Raccoon Stealer V2) Infostealer.
Sin embargo, en un entorno virtual, se descarga un instalador de actualización de .NET desde el sitio web oficial de Microsoft en lugar del malware. Después de descargar el instalador, se ejecuta y finaliza.
Fortinet corrige falla crítica de ejecución de comandos remotos de FortiNAC
La empresa de soluciones de ciberseguridad Fortinet ha actualizado su solución de acceso de confianza cero FortiNAC para abordar una vulnerabilidad de gravedad crítica que los atacantes podrían aprovechar para ejecutar código y comandos.
FortiNAC permite a las organizaciones administrar políticas de acceso a toda la red, obtener visibilidad de dispositivos y usuarios, y proteger la red contra accesos no autorizados y amenazas.
El problema de seguridad se rastrea como CVE-2023-33299 y recibió una puntuación de gravedad crítica de 9,6 sobre 10. Es una deserialización de datos que no son de confianza que puede conducir a la ejecución remota de código (RCE) sin autenticación.
Vulnerabilidad crítica de RCE CVE-2023-20887 en VMware vRealize explotada "in the wild"
VMware advierte a los clientes que una vulnerabilidad crítica de ejecución remota de código en Aria Operations for Networks (anteriormente vRealize Network Insight), rastreada como CVE-2023-20887, se está explotando activamente en la naturaleza.
“VMware ha confirmado que la explotación de CVE-2023-20887 se ha producido en la naturaleza”, se lee en el aviso.
ASUS insta a los clientes a reparar las vulnerabilidades críticas de sus routers
ASUS ha lanzado un nuevo firmware con actualizaciones de seguridad acumulativas que abordan las vulnerabilidades en múltiples modelos de enrutadores, advirtiendo a los clientes que actualicen inmediatamente sus dispositivos o restrinjan el acceso a la WAN hasta que estén protegidos.
Como explica la compañía, el firmware recién lanzado contiene correcciones para nueve fallas de seguridad, incluidas las más altas y críticas.
El sitio reencarnado de BreachForums acaba de ser hackeado y su base de datos de usuarios publicada. El equipo de investigación de Cybernews ha confirmado que la base de datos filtrada es legítima.
No ha pasado ni una semana desde que el mercado de delitos informáticos BreachForums pareció haber resucitado con la ayuda de su antiguo segundo al mando.
Sin embargo, los usuarios de los mercados de delitos cibernéticos rivales ahora comparten una base de datos que contiene los detalles de 4700 usuarios de los nuevos BreachForums.
Apple corrige los días cero utilizados para implementar el software espía Triangulación a través de iMessage
Apple abordó tres nuevas vulnerabilidades de día cero explotadas en ataques que instalan software espía Triangulación en iPhones a través de vulnerabilidades de clic cero de iMessage.
"Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7", dice la compañía al describir las vulnerabilidades de Kernel y WebKit rastreadas como CVE-2023-32434 y CVE-2023-32435.
El grupo hacktivista Anonymous filtro 6.38 Gb de documentos del gobierno cubano en el seguimiento de su campaña contra el gobierno dictatorial de la isla.
Ciudadano ruso arrestado y acusado de conspirar para cometer ataques de ransomware LockBit contra EE. UU. y Negocios Extranjeros
El Departamento de Justicia anunció hoy cargos contra un ciudadano ruso por su participación en el despliegue de numerosos ransomware LockBit y otros ataques cibernéticos contra los sistemas informáticos de las víctimas en los Estados Unidos, Asia, Europa y África.
software de transferencia de archivos MOVEit Transfer victima de ransomware
Progress Software es una empresa estadounidense que proporciona MOVEit Transfer a muchas empresas para que puedan mover archivos de forma segura en los sistemas de la empresa. En un aviso de seguridad publicado por la empresa, se reveló que se había descubierto una vulnerabilidad en el software MOVEit Transfer que podría conducir a "privilegios aumentados y posible acceso no autorizado al entorno".
El 27 de mayo de 2023, la pandilla de ransomware CL0P, también conocida como TA505, comenzó a explotar una vulnerabilidad de inyección SQL previamente desconocida (CVE-2023-34362) en el software MOVEit Transfer. Entre las victimas se encuentran: BBC, British Airways y Ernst & Young entre otros.
Cisco Talos ha observado a un actor de amenazas que implementa un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020. El actor de amenazas parece estará dirigido a usuarios de habla hispana en las Américas y, según el análisis de Talos, podría estar ubicado en Brasil.
Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima. El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima. La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.
El 19 de mayo de 2023, Barracuda Networks identificó una vulnerabilidad de inyección de comando remoto (CVE-2023-2868) presente en las versiones 5.1.3.001-9.2.0.006 de Barracuda Email Security Gateway (solo factor de forma de dispositivo). La vulnerabilidad provino de una validación de entrada incompleta de los archivos .tar proporcionados por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. En consecuencia, un atacante remoto podría formatear los nombres de los archivos de una manera particular que daría como resultado la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway.
La investigación de Barracuda hasta la fecha ha determinado que un tercero usó la técnica descrita anteriormente para obtener acceso no autorizado a un subconjunto de dispositivos ESG.
Microsoft 365 phishing attacks use encrypted RPMSG messages
Attackers are now using encrypted RPMSG attachments sent via compromised Microsoft 365 accounts to steal Microsoft credentials in targeted phishing attacks designed to evade detection by email security gateways.
LockBit for Mac | How Real is the Risk of macOS Ransomware?
LockBit claims to be “the oldest ransomware affiliate program on the planet”, and news that one of the major cybercrime outfits in the ransomware landscape was now targeting macOS devices has predictably raised concerns about the ransomware threat on Mac devices.
Apple fixes recently disclosed zero-days on older iPhones and iPads
Apple has released emergency updates to backport security patches released on Friday, addressing two actively exploited zero-day flaws also affecting older iPhones, iPads, and Macs.
Google Chrome emergency update fixes first zero-day of 2023
Google has released an emergency Chrome security update to address the first zero-day vulnerability exploited in attacks since the start of the year.
"Google is aware that an exploit for CVE-2023-2033 exists in the wild," the search giant said in a security advisory published on Friday.
Beware of new YouTube phishing scam using authentic email address
Watch out for a new YouTube phishing scam and ignore any email from YouTube that claims to provide details about “Changes in YouTube rules and policies | Check the Description.”
Researcher Tricks ChatGPT Into Building Undetectable Steganography Malware
Using only ChatGPT prompts, a Forcepoint researcher convinced the AI to create malware for finding and exfiltrating specific documents, despite its directive to refuse malicious requests.
HP to patch critical bug in LaserJet printers within 90 days
HP announced in a security bulletin this week that it would take up to 90 days to patch a critical-severity vulnerability that impacts the firmware of certain business-grade printers.
The security issue is tracked as CVE-2023-1707 and it affects about 50 HP Enterprise LaserJet and HP LaserJet Managed Printers models.
Emotet Resumes Spam Operations, Switches to OneNote
Following its initial return to spamming operations, Emotet was leveraging heavily padded Microsoft Word documents in an attempt to evade detection. By leveraging a large number of inconsequential bytes in their documents, they could increase the size of the documents to surpass the maximum file size restrictions that automated analysis platforms like sandboxes and anti-virus scanning engines enforce.
The Titan Stealer: Notorious Telegram Malware Campaign
Titan Stealer malware, which is being marketed and sold by a threat actor (TA) through a Telegram channel for cybercrime purposes. The stealer is capable of stealing a variety of information from infected Windows machines, including credential data from browsers and crypto wallets, FTP client details, screenshots, system information, and grabbed files.
Google sponsored ads malvertising targets password manager
Malwarebytes researchers have found a more direct way to get at your login credentials by phishing for popular password manager 1Password, as well as using Google sponsored ads to trick people into downloading malware.
OneNote Documents Increasingly Used to Deliver Malware
Proofpoint researchers recently identified an increase in threat actor use of OneNote documents to deliver malware via email to unsuspecting end-users in December 2022 and January 2023.
GoDaddy Announces Source Code Stolen and Malware Installed in Breach
Web hosting company GoDaddy has revealed that an unauthorized party gained access to its servers and installed malware, causing the intermittent redirection of customer websites.
Hackers start using Havoc post-exploitation framework in attacks
Security researchers are seeing threat actors switching to a new and open-source command and control (C2) framework known as Havoc as an alternative to paid options such as Cobalt Strike and Brute Ratel.
New ESXiArgs ransomware version prevents VMware ESXi recovery
New ESXiArgs ransomware attacks are now encrypting more extensive amounts of data, making it much harder, if not impossible, to recover encrypted VMware ESXi virtual machines.
EvilProxy Phishing-as-a-Service con omisión de MFA surgió en la Dark Web
Resecurity ha identificado un nuevo servicio clandestino que permite a los ciberdelincuentes eludir los mecanismos de autenticación 2FA (MFA) a gran escala sin necesidad de piratear los servicios anteriores o la cadena de suministro. Los actores de EvilProxy están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima de proxy.
La nueva campaña de ataque de Golang aprovecha las macros de Office y las imagenes del telescopio Webb
El equipo de investigación de Securonix Threat identificó recientemente una muestra única de una campaña de ataque persistente basada en Golang rastreada por Securonix como GO#WEBBFUSCATOR. La nueva campaña incorpora una estrategia igualmente interesante al aprovechar la infame imagen de campo profundo tomada del telescopio James Webb y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware.
Ataque AiTM a gran escala dirigido a usuarios empresariales de servicios de correo Microsoft
Los investigadores de seguridad descubrieron una nueva variedad de una campaña de phishing a gran escala, que utiliza técnicas de adversario en el medio (AiTM) junto con varias tácticas de evasión. Se utilizaron técnicas similares de phishing AiTM en otra campaña de phishing descrita recientemente por Microsoft.
Emotet ha permanecido activo desde febrero de 2022. Hoy jueves 2022-07-07, hay un nuevo ejemplo de una infección de Emotet con Cobalt Strike para compartir.
El nuevo malware HiddenAds afecta a más de 1 millón de usuarios y se oculta en Google Play
Los investigadores de seguridad identificaron nuevo malware en Google Play Store. El malware oculta y muestra continuamente anuncios a las víctimas. Además, ejecutan servicios maliciosos automáticamente tras la instalación sin ejecutar la aplicación.
CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
Los rootkits son implantes de malware que se entierran en los rincones más profundos del sistema operativo. Aunque en el papel pueden parecer atractivos para los atacantes, crearlos plantea importantes desafíos técnicos y el más mínimo error de programación tiene el potencial de colapsar por completo la máquina víctima. En nuestras predicciones de APT para 2022, notamos que, a pesar de estos riesgos, esperábamos que más atacantes alcanzaran el nivel de sofisticación necesario para desarrollar tales herramientas. Uno de los principales atractivos del malware anidado en niveles tan bajos del sistema operativo es que es extremadamente difícil de detectar y, en el caso de los rootkits de firmware, asegurará que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la máquina por completo.
Hace unos meses, Trustwave informó sobre un sitio interesante llamado Chameleon Phishing Page. Estos sitios web tienen la capacidad de cambiar su fondo y logotipo según el dominio del usuario. El sitio de phishing se almacena en IPFS (Sistema de archivos interplanetarios) y después de revisar las URL utilizadas por el atacante, notamos un número creciente de correos electrónicos de phishing que contienen URL de IPFS como carga útil.
Malware sigiloso de OpenDocument desplegado contra hoteles latinoamericanos
A fines de junio de 2022, HP Wolf Security aisló una campaña de malware inusualmente sigilosa que usaba archivos de texto OpenDocument (.odt) para distribuir malware. OpenDocument es un formato de archivo abierto e independiente del proveedor compatible con varias suites de productividad de oficina populares, incluidas Microsoft Office, LibreOffice y Apache OpenOffice. Como se describe en una publicación de blog de Cisco Talos, la campaña está dirigida a la industria hotelera en América Latina. Los hoteles objetivo son contactados por correo electrónico con solicitudes de reserva falsas. En el caso a continuación, el documento adjunto supuestamente era un documento de registro de invitados.
Después de un pico en el impacto global de Emotet el mes pasado, Emotet ha vuelto a sus números de impacto global y continúa como el malware más extendido. Posiblemente terminó el pico, debido a las vacaciones de verano como se vio en el pasado. Sin embargo, constantemente se descubren nuevas características y mejoras en las capacidades de Emotet, como el desarrollo de su último módulo de ladrón de tarjetas de crédito y los ajustes realizados en sus sistemas de difusión.
Los analistas del Cofense Phishing Defense Center (PDC) analizaron recientemente los correos electrónicos de phishing que solicitan a los usuarios que descarguen una "Prueba de pago" que era el troyano bancario Lampion.
El troyano bancario Lampion existe desde 2019, pero esta es la primera vez que Cofense lo analiza. Utilizando la plataforma en la nube de confianza utilizada para los pagos, WeTransfer, los actores de amenazas intentan ganarse la confianza de los usuarios mientras aprovechan el servicio proporcionado por el popular sitio. Al aprovechar un sitio de pago confiable, no sorprende ver que los actores de amenazas alinean su mensaje de correo electrónico para este proceso.
Symbiote Deep-Dive: análisis de una nueva amenaza de Linux casi imposible de detectar
En biología, un simbionte es un organismo que vive en simbiosis con otro organismo. La simbiosis puede ser mutuamente beneficiosa para ambos organismos, pero a veces puede ser parasitaria cuando uno se beneficia y el otro se perjudica. Hace unos meses, descubrimos un nuevo malware para Linux® no detectado que actúa con esta naturaleza parasitaria. Acertadamente hemos llamado a este malware Symbiote.
RiskIQ: CVE-2022-30190: La vulnerabilidad de Follina en la herramienta de diagnóstico de Microsoft MSDT podría conducir a la ejecución de código
CVE-2022-30190, también conocido con el nombre "Follina", existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) usando su protocolo URL desde una aplicación como Microsoft Office o mediante un archivo RTF. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
El mes pasado, el Grupo de análisis de amenazas (TAG) de Google informó sobre EXOTIC LILY utilizando servicios de transferencia de archivos como TransferNow, TransferXL, WeTransfer o OneDrive para distribuir malware. Leer más aquí. Usando esta información, Duncan encontró un puñado adicional de URL TransferXL activas que entregan archivos ISO para el malware Bumblebee.
Trustwave SpiderLabs a principios de abril observó una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
"Mientras investigamos la infraestructura relacionada con el cargador de malware BUMBLEBEE, encontramos dos dominios sospechosos y varios subdominios que imitan a Fortinet"
Emotet: Nuevo mecanismo de entrega para eludir la protección de VBA
El 26 de abril de 2022, se detectó una nueva campaña de Emotet en la que se reemplazó el sistema de entrega habitual de Office por archivos LNK, en una clara respuesta a la protección VBA lanzada por Microsoft. Los investigadores encontraron 139 archivos LNK distintos que son parte de la misma campaña, entregando dos cargas útiles distintas que comparten la misma infraestructura C2.
BPFDoor: la herramienta china casi desapercibida durante CINCO años es la segunda basada en BPF
Los investigadores han descubierto una herramienta de vigilancia china altamente evasiva que utiliza el filtro de paquetes de Berkeley (BPF). El malware, denominado BPFDoor, está presente en “miles” de sistemas Linux, su controlador ha pasado casi completamente desapercibido para los proveedores de protección de puntos finales a pesar de haber estado en uso durante al menos cinco años.
Public Cloud Cybersecurity Threat Intelligence (202204)
Con la popularidad de los servicios en la nube, los problemas de seguridad en la nube se han vuelto cada vez más importantes. Los atacantes a menudo comprometen los servidores en la nube y usan las máquinas comprometidas para continuar con sus ataques.
SYK Crypter distribuye familias de malware a través de Discord
Con un 50% más de usuarios el año pasado que en 2020, la cantidad de personas que utilizan la plataforma de chat comunitario Discord está creciendo a un ritmo vertiginoso. Esto ha llevado a los ciberdelincuentes a refinar y expandir los casos de uso de ataques maliciosos para la plataforma. En este informe de investigación de amenazas, Morphisec revela cómo los actores de amenazas están utilizando Discord como parte de una cadena de ataque cada vez más popular con un nuevo encriptador SYK diseñado para burlar los controles de seguridad basados en firmas y comportamiento.
Vulnerabilidades de VMware explotadas en estado salvaje (CVE-2022-22954 y otras)
Los productos de VMware corren el riesgo de ser atacados por malware, según un informe publicado por la Unidad 42 de Palo Alto Networks y una Alerta CISA emitida por el gobierno de EE. UU. el 18 de mayo de 2022.
Mirai Malware for Linux Double Down en chips más fuertes
Las variantes del malware Mirai compiladas para servidores Linux y equipos de red con tecnología Intel han aumentado más del 100 % en los últimos tres años, según una investigación de la firma de seguridad CrowdStrike. el primero de su tipo.
Si trabajas en ciberseguridad, probablemente hayas oído hablar de la botnet Emotet. Alguna vez considerada la botnet de malware más grande del mundo hace más de un año, Emotet estaba compuesta por cientos de servidores de comando y control y casi dos millones de víctimas. Emotet era tan grande que se necesitó un esfuerzo conjunto entre los organismos encargados de hacer cumplir la ley y las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania para permitir que los investigadores tomaran el control de los servidores de la botnet, interrumpieran la operación del malware y arrestar a dos operadores.
Grandoreiro Banking Malware resurge para la temporada de impuestos
Los investigadores observaron a principios de abril una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Ladrón de información apunta a billeteras criptográficas a través de una actualización falsa de Windows 11
Desde su aparición en 2008, la criptomoneda ha pasado de ser una oscura tendencia de Internet a una unidad monetaria convencional. El valor creciente de las criptomonedas combinado con el respaldo de figuras públicas ha atraído a usuarios de todo el mundo. Sin embargo, esto también ha llevado a los atacantes a realizar estafas, desarrollar malware e infringir los intercambios de criptomonedas para defraudar a los usuarios y legitimar las empresas de criptomonedas.
A partir de marzo de 2022, Proofpoint observó campañas que ofrecían un nuevo descargador llamado Bumblebee. Al menos tres grupos de actividad, incluidos los actores de amenazas conocidos, distribuyen actualmente Bumblebee. Las campañas identificadas por Proofpoint se superponen con la actividad detallada en el blog del Grupo de análisis de amenazas de Google que conduce al ransomware Conti y Diavol.
La variante del ransomware AvosLocker abusa del archivo del controlador para deshabilitar el antivirus
TrendMicro encontró muestras del ransomware AvosLocker que utiliza un archivo de controlador legítimo para deshabilitar las soluciones antivirus y la evasión de detección. Si bien las infecciones anteriores de AvosLocker emplean rutinas similares, esta es la primera muestra que observamos en los EE. UU. con la capacidad de deshabilitar una solución de defensa mediante un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys). Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j Log4shell utilizando el script Nmap NSE.
ESET Research ha descubierto un esquema sofisticado que distribuye malware haciéndose pasar por billeteras de criptomonedas populares en las redes sociales y en el servicio de mensajería Telegram. la primera vez que hemos visto tal esquema.
JSSLoader Trojan entregado a traves de archivos XLL
Una nueva versión ofuscada del troyano de acceso remoto JSSLoader ha sido entregada a las máquinas infectadas a través de archivos XLL, reveló Morphisec Labs.
Uso de cuentas comprometidas de militares Ukranianos para phishing
Los investigadores de Proofpoint han identificado una campaña de phishing que se origina en una dirección de correo electrónico (ukr[.]net) que parece pertenecer a un miembro del servicio armado ucraniano comprometido como parte de TA445.
PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux
La vulnerabilidad se encuentra en el componente pkexec de PolKit, que está en la configuración por defecto de la mayoría de distribuciones Linux.
Todas las versiones de PolKit desde la primera introducción de pkexec son vulnerables; es decir, desde la versión 0.113 del año 2009.
Todas las distribuciones Major de Linux, inluyendo Ubuntu, Debian, Fedora y CentOS, se ven afectadas, ya que PolKit (antes PolicyKit) es un sistema para la gestión de permisos ampliamente usado en Linux.
Varios investigadores han reportado 3 vulnerabilidades en Samba: 1 de severidad crítica, 1 alta y 1 media. Un atacante podría filtrar información, ejecutar código y suplantar servicios arbitrarios, en caso de explotarlas.
Se han publicado múltiples vulnerabilidades en productos de Cisco que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios, ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.
Operacion Falcon II: Unit 42 ayuda a INTERPOL a detener a los atacantes SilverTerrier BEC
El arresto de 11 actores de amenazas nigerianos en una operación conjunta dirigida por el FBI, la Fuerza de Policía de Nigeria y la Organización Internacional para la Prohibición del Delito Cibernético (INTERPOL) es el último de una serie en curso de investigaciones de delitos cibernéticos.
Log4j Exploit : servidores vulnerables VMWare Horizon en riesgo
Los servidores VMWare Horizon vulnerables corren el riesgo de ser infectados con ransomware debido a una falla de seguridad conocida como Log4j. Las versiones 7.x y 8.x del servidor VMware Horizon son susceptibles a dos de las vulnerabilidades de Log4j (CVE-2021-44228 y CVE-2021-45046). Los expertos en seguridad afirmaron que un grupo de ataque ha estado explotando estas fallas para instalar webshells en servidores comprometidos.
Vulnerabilidad de Seguridad Ejecución remota de código en Microsoft Exchange
Descripción:
Una vulnerabilidad de ejecución remota de código (RCE) afecta Microsoft Exchange Server 2013, 2016 y 2019.
Impacto:
Estas vulnerabilidades afectan a Microsoft Exchange Server en las instalaciones locales (on-premise), incluidos los servidores utilizados por los clientes en el modo híbrido de Exchange. Los clientes de Exchange Online ya están protegidos y no necesitan realizar ninguna acción.
Solución:
Aplicar la actualización de seguridad
El Ciber-comando de Estados Unidos (CYBERCOM) ha identificado múltiples herramientas que los actores de inteligencia Iraní usan en redes alrededor del mundo según un reporte del Departamento de Defensa, la suite de malware Iraní esta compuesta de herramientas de inteligencia OSINT.
La firma Palo Alto ha descubierto una serie de dominios maliciosos que han permanecido durmientes en espera de posibilidades de ataque, a traves de patrones de trafico de DNS es posible detectarlos.
Lista de aplicaciones para revisar presencia de vulnerabilidad Log4Shell
El Centro Nacional de Ciberseguridad de Holanda (paises bajos), publico esta lista extensa de aplicaciones con detalles acerca de la presencia de la vulnerabilidad Log4Shell y pasos específicos por aplicacion para mitigarla
Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica (nuevo descubrimiento), que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (Remote Code Execution).
Lo anterior significa que con solo una petición (GET y un string especialmente construido) a un servidor vulnerable, se podría insertar una dirección para que el servidor vulnerable posteriormente ejecutara algún malware.
La vulnerabilidad afecta a Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución, por la que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados. Log4j is usada en una gran variedad de servicios al consumidor, sitios web, OT y aplicaciones para generar logs e información de desempeño de sistemas. Un atacante podria explotar esta vulnerabilidad para tomar control del sistema.
El grupo de atacantes TA575 ha aprovechado la epoca navideña para intensificar sus ataques de phishing y malware utilizando Macros de documentos de office.
Ejecución de código remoto en PCOMM de IBM
IBM ha publicado una vulnerabilidad de severidad crítica en su servicio PCOMM que podría permitir a un atacante con pocos privilegios moverse lateralmente a los sistemas afectados y aumentar sus privilegios.
Múltiples vulnerabilidades en HTTP/2 CONTINUATION Flood
El investigador, Barket Nowotarski, ha reportado múltiples vulnerabilidades que afectan al protocolo HTTP/2 y han recibido el alias de CONTINUATION Flood. La explotación de estas vulnerabilides podría permitir a un atacante ejecutar una denegación de servicio (DoS), bloqueando servidores web con una única conexión TCP en algunas implementaciones.
Campaña masiva de phishing golpea a América Latina: Venom RAT apunta a múltiples sectores
El actor de amenazas conocido como TA558 se ha atribuido a una nueva campaña masiva de phishing que se dirige a una amplia gama de sectores en América Latina con el objetivo de implementar Venom RAT.
Back door en paquete de Linux
Se encontró que el paquete xz, a partir de la versión 5.6.0 a la 5.6.1, contenía una puerta trasera.
Datos personales de 73 millones de titulares de cuentas en EE.UU. de AT&T se filtraron a la dark web
AT&T ha iniciado una investigación sobre el origen de una filtración de datos que incluye información personal de 73 millones de clientes actuales y anteriores en Estados Unidos.
Chilango Leaks: hackers de Mexican Mafia atacan al gobierno de CDMX
Piratas informáticos robaron correos de dependencias como el Heroico Cuerpo de Bomberos, Secretaría de Obras y Servicios, Procuraduría Social, entre muchas otras
Hackeo al Gobierno de CDMX: Colapso de la Línea 12, entre la información robada por Lord Peña
Entre la información robada al Gobierno de la CDMX está el colapso de la Línea 12, además de detalles sobre delincuentes y feministas.
Splunk corrige vulnerabilidades en productos empresariales
Splunk corrige vulnerabilidades de alta gravedad en Enterprise, incluido un problema de exposición de tokens de autenticación.
La nueva herramienta GEOBOX secuestra la Raspberry Pi y permite a los atacantes falsificar la ubicación
La nueva herramienta de la Dark Web GEOBOX, vendida por 700 dólares en Telegram y foros clandestinos, secuestra Raspberry Pi, lo que permite a los ciberdelincuentes falsificar ubicaciones y evadir la detección.
Los nuevos resultados de búsqueda de IA de Google promueven sitios que impulsan malware y estafas
Los nuevos algoritmos de Experiencia generativa de búsqueda impulsados por IA de Google recomiendan sitios fraudulentos
Múltiples vulnerabilidades en productos de DELL
Dell ha publicado 2 vulnerabilidades de severidades crítica y media que podrían provocar la pérdida de confidencialidad, integridad y disponibilidad.
FlowFixation Vulnerabilidad de adquisición del servicio AWS Apache Airflow
Tenable Research descubrió una vulnerabilidad de toma de control de cuenta con un solo clic en el servicio Apache Airflow de AWS Managed Workflows que podría haber permitido la toma completa del panel de administración web de la instancia de Airflow de la víctima. El descubrimiento de esta vulnerabilidad ahora resuelta revela un problema más amplio de dominios principales compartidos mal configurados que pone en riesgo a los clientes de los principales CSP.
Ivanti corrige un error crítico de Standalone Sentry informado por la OTAN
Ivanti advirtió a los clientes que parchearan inmediatamente una vulnerabilidad Standalone Sentry de gravedad crítica informada por investigadores del Centro de Seguridad Cibernética de la OTAN.
Atacante SiegedSec vulnera a TVC en linea
SiegedSec publica que ha vulnerado a TVC en linea, no filtra informacion pero borra varios repositorios y apaga infraestructuras.
Atacante supuestamente filtra base de datos de Banregio Grupo Financiero, revelando información confidencial
Un presunto actor de amenazas supuestamente reveló la base de datos de Banregio Grupo Financiero, un grupo financiero en México, con un tamaño de 340 MB y tipos de archivos que incluyen doc, xlsx, csv, sql y html.
SAP parchea vulnerabilidades críticas de inyección de comandos
El fabricante de software empresarial SAP documenta múltiples problemas de gravedad crítica y advierte sobre el riesgo de ataques de inyección de comandos.
Fortinet lanza actualizaciones de seguridad para múltiples productos
Fortinet lanzó actualizaciones de seguridad para abordar las vulnerabilidades en múltiples productos de Fortinet. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
El nuevo ataque Loop DoS afecta a miles de sistemas
Se ha descubierto que un novedoso vector de ataque de denegación de servicio (DoS) se dirige a protocolos de capa de aplicación basados en el Protocolo de datagramas de usuario (UDP), poniendo en riesgo a cientos de miles de hosts.
PVEM presenta otra vez propuesta de ciberseguridad
El PVEM a traves del diputado Lopez Casarin, presento otra vez una propuesta de ley de ciberseguridad sin mejoras notables que las anteriores.
Anonymous ataca instalación nuclear israelí
El grupo hacktivista Anonymous ha reivindicado una reciente violación de las redes administrativas (no operativas) de las instalaciones nucleares de Israel en Dimona como protesta contra la guerra con Gaza.
Cisco lanza actualizaciones de seguridad para software IOS XR
Cisco lanzó actualizaciones de seguridad para abordar vulnerabilidades en el software Cisco IOS XR. Un actor de amenaza cibernética podría explotar una de estas vulnerabilidades para tomar el control de un dispositivo afectado. CISA anima a los usuarios y administradores a revisar las siguientes advertencias y aplicar las actualizaciones necesarias: Software Cisco IOS XR para ASR 9000 Series Agregation Services Routers PPPoE Denegabilidad de servicio Cisco IOS XR Software SSH Privilege Escalada de vulnerabilidadCisco IOS XR Software Layer 2 Servicios Denegación de Vulnerabilidad de servicio Este producto está sujeto a esta Notificación y a esta Política de Privacidad .
Nuevo malware Fakext apunta a bancos latinoamericanos
Malware se aprovecha de extensiones maliciosas para el navegador Edge.
Múltiples vulnerabilidades 0day en productos de Apple Fecha de publicación
Apple ha publicado 4 vulnerabilidades, 2 de ellas de tipo 0day, que podrían permitir a un atacante eludir las protecciones de la memoria del kernel.
Múltiples vulnerabilidades en productos VMware
Varios investigadores han reportado 4 vulnerabilidades, 2 de severidad crítica y 2 altas, en varios productos de VMware.
Tarjetas de crédito American Express expuestas en violación de datos de terceros
American Express advierte a sus clientes que las tarjetas de crédito quedaron expuestas en una violación de datos de terceros después de que un procesador comercial fuera pirateado.
La plataforma de inteligencia artificial Hugging Face está plagada de 100 modelos de ejecución de códigos maliciosos
El hallazgo subraya el creciente riesgo de convertir en armas modelos de IA disponibles públicamente y la necesidad de una mejor seguridad para combatir la amenaza inminente.
Los ataques de vishing, smishing y phishing se disparan un 1265% después de ChatGPT
Según Enea, el 76% de las empresas carecen de suficiente protección contra fraudes de voz y mensajes a medida que el vishing y el smishing impulsados por IA se disparan tras el lanzamiento de ChatGPT .
El ataque de phishing MiTM puede permitir a los atacantes desbloquear y robar un Tesla
Los investigadores demostraron cómo podían realizar un ataque de phishing Man-in-the-Middle (MiTM) para comprometer las cuentas de Tesla, desbloquear automóviles y arrancarlos. El ataque funciona en la última aplicación de Tesla, versión 4.30.6, y en la versión 11.1 2024.2.7 del software Tesla.
ComPromptMized: Liberación de gusanos sin clic dirigidos a aplicaciones impulsadas por GenAI
El año pasado, numerosas empresas incorporaron capacidades de IA generativa (GenAI) en aplicaciones nuevas y existentes, formando ecosistemas interconectados de IA generativa (GenAI) que consisten en agentes semi o totalmente autónomos impulsados por servicios GenAI. Si bien las investigaciones en curso resaltaron los riesgos asociados con la capa de agentes GenAI (por ejemplo, envenenamiento de diálogos, filtración de privacidad, jailbreak), surge una pregunta crítica: ¿pueden los atacantes desarrollar malware para explotar el componente GenAI de un agente y lanzar ataques cibernéticos en todo el GenAI?
El gigante siderúrgico ThyssenKrupp confirma un ciberataque a su división de automoción
El gigante siderúrgico ThyssenKrupp confirma que los piratas informáticos violaron los sistemas de su división Automotriz la semana pasada, obligándolos a cerrar los sistemas de TI como parte de su esfuerzo de respuesta y contención.
NIST lanza la versión 2.0 del marco de ciberseguridad Landmark
La agencia ha finalizado la primera actualización importante del marco desde su creación en 2014.
La campaña TimbreStealer apunta a usuarios mexicanos con señuelos financieros
Esta campaña utiliza correos electrónicos de phishing con temas financieros, dirigiendo a los usuarios. a un sitio web comprometido donde está alojada la carga útil y engañarlos para que ejecuten la aplicación maliciosa.
Ejecución remota de código en Azure de Microsoft
Nitesh Surana (@_niteshsurana) de Trend Micro Research, ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto ejecutar código arbitrario.
Ejército monitorea redes sociales para identificar críticos de militares y del Gobierno, crea bots para influenciar web
El Centro de Operaciones para el Ciberespacio de Sedena cuenta con el software HIWIRE usado para monitorear a personas usuarias de redes sociales que hacen publicacions críticas al Ejército y al Gobierno federal, de acuerdo con documentos obtenidos por el Colectivo Guacamaya.
Subdominios secuestrados de marcas importantes utilizados en campaña masiva de spam
Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.
Como era de esperar, LockBit ya ha vuelto
Sólo cinco días después de que un esfuerzo internacional de aplicación de la ley se apoderara de los sitios de filtración de LockBit , 34 servidores y 14.400 cuentas de correo electrónico fraudulentas utilizadas para respaldar la infraestructura y la extorsión, LockBit3.0 ha reaparecido con un nuevo sitio Tor que se parece al anterior.
OWASP publica una lista de verificación de seguridad para la implementación de IA generativa
El Open Web Application Security Project (OWASP) publicó la lista de verificación de gobernanza y ciberseguridad de LLM AI.
Error crítico de ScreenConnect ahora bajo ataque
Tanto los detalles técnicos como las pruebas de concepto están disponibles para las dos vulnerabilidades que ConnectWise reveló a principios de esta semana para ScreenConnect, su software de acceso y escritorio remoto.
vulnerabilidades de seguridad en el software de escritorio Autodesk AutoCAD
ZDI publicó vulnerabilidades de día cero el 12 de febrero para las versiones de los productos Autodesk AutoCAD
Venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
En otro incidente en una linea interminable de fallas de ciberseguridad del actual gobierno venden datos hackeados de 12 millones de mexicanos registrados en empleo.gob.mx
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
El troyano GoldPickaxe combina el robo de datos biométricos y los deepfakes para estafar a los bancos
Los investigadores de seguridad han advertido sobre un nuevo y sofisticado troyano diseñado para robar datos biométricos faciales y utilizarlos para producir deepfakes de las víctimas que pueden eludir los inicios de sesión bancarios.
vulnerabilidad crítica MonikerLink en Microsoft Outlook
Manejo de hipervínculos en Outlook: la investigación demuestra que los hipervínculos “file://” se pueden manipular de cierta manera, lo que resulta en eludir las medidas de seguridad de Outlook, como la Vista protegida.
Microsoft lanza actualizaciones de seguridad para varios productos
Microsoft ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado.
Múltiples vulnerabilidades en FortiOS de Fortinet
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
Empresa pierde 25,6 millones de dólares debido a una conferencia telefónica deepfake.
Un empleado de la empresa fue invitado a una videollamada grupal llena de funcionarios de la empresa con deepfaking, incluido lo que parecía ser el director financiero de la empresa.
Múltiples vulnerabilidades en FortiOS de Fortinet
Fortinet ha informado de 2 vulnerabilidades críticas que afectan a su sistema operativo FortiOS, una de ellas reportada por Gwendal Guégniaud (CVE-2024-23113). La explotación de las mismas podría permitir a un atacante ejecutar código o comandos no autorizados.
[Actualización 09/02/2024] Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Respuesta a incidentes de AnyDesk 5-2-2024
Anydesk recomienda utilizar las últimas versiones 7.0.15 y 8.0.8. Despues de incidente de ciberseguridad.
Bancos mexicanos y plataformas de criptomonedas atacadas con Troyano AllaKore RAT
Un actor de amenazas motivado financieramente está apuntando a bancos mexicanos y entidades de comercio de criptomonedas con instaladores empaquetados personalizados que ofrecen una versión modificada de AllaKore RAT, una herramienta de acceso remoto de código abierto.
Tesla hackeado de nuevo, 24 días cero más explotados en competencia Pwn2Own Tokyo
Los investigadores de seguridad hackearon el sistema de infoentretenimiento de Tesla y demostraron 24 días cero más en el segundo día de la competencia de piratería Pwn2Own Automotive 2024.
Hewlett Packard es vulnerada por APT29
El 12 de diciembre de 2023, se notificó a Hewlett Packard Enterprise Company que un presunto actor de estado-nación, que se cree que es el actor de amenazas Midnight Blizzard, el actor patrocinado por el estado también conocido como Cozy Bear, había obtenido acceso no autorizado al entorno de correo electrónico basado en la nube de HPE.
Ejecución remota de código en productos de Cisco
Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. En caso de tener acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.
Servidores de GitLab son vulnerables a los ataques de apropiación de cuentas sin clics que explotan la falla CVE-2023-7028.
La vulnerabilidad más crítica, rastreada como CVE-2023-7028 (puntuación CVSS 10), es la apropiación de una cuenta a través del restablecimiento de contraseña. La falla se puede explotar para secuestrar una cuenta sin ninguna interacción.
Mozilla lanza actualizaciones de seguridad para Thunderbird y Firefox
Mozilla ha lanzado actualizaciones de seguridad para abordar las vulnerabilidades en Thunderbird y Firefox. Un actor de amenazas cibernéticas podría explotar una de estas vulnerabilidades para tomar el control de un sistema afectado.
Otro incidente de ciberseguridad del gobierno de amlo, datos de periodistas fueron filtrados
El presidente culpa a la oposicion y reconoció que “falló la seguridad”, aunque dijo que también pudieron haber sido “muy buenos hackeadores”.
Correos de spam con tematica de RRHH
Los estafadores se hacen pasar por representantes de recursos humanos y envían correos electrónicos maliciosos con enlaces que conducen a sitios de phishing o archivos adjuntos que pueden descargar malware. En los últimos seis meses, los investigadores han visto un aumento notable en el spam malicioso relacionado con recursos humanos, que se espera que continúe.
Explorando FBot | Malware basado en Python dirigido a servicios de pago.
FBot es una herramienta de piratería basada en Python distinta de otras familias de malware en la nube, dirigida a servidores web, servicios en la nube y plataformas SaaS como AWS, Office365, PayPal, Sendgrid y Twilio.
LockBit Ransomware distribuido a través de archivos de Word disfrazados de currículae
AhnLab SEcurity intelligence Center (ASEC) ha identificado que el ransomware LockBit se distribuye a través de archivos de Word desde el mes pasado.
IA utilizada para falsificar las voces de los seres queridos en la estafa de accidente.
El San Francisco Chronicle cuenta la historia de una familia que casi fue estafada cuando escucharon la voz de su hijo diciéndoles que había tenido un accidente automovilístico y lastimado a una mujer embarazada.
El nuevo método iShutdown expone el spyware oculto como Pegasus en tu iPhone
Los investigadores de ciberseguridad han identificado un "método ligero" llamado iShutdown para identificar de manera confiable signos de spyware en dispositivos iOS de Apple, incluidas amenazas notorias como Pegasus de NSO Group, Reign de QuaDream y Predator de Intellexa.
Más de 178.000 NGFW de Sonicwall expuestos en linea.
Los investigadores de Bishop Fox descubrieron que más de 178.000 firewalls de próxima generación (NGFW) de SonicWall eran explotables públicamente.
GitLab advierte de una vulnerabilidad crítica de secuestro de cuentas de click cero
GitLab ha lanzado actualizaciones de seguridad tanto para Community como para Enterprise Edition para abordar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario.
Falta de control de acceso en VMware Aria Automation
Vmware ha publicado una vulnerabilidad de severidad crítica que podría provocar el acceso no autorizado a organizaciones y flujos de trabajo remotos.
Cómo evitar y denunciar las estafas con tarjetas de regalo
Solo los estafadores le dirán que compre una tarjeta de regalo, como una tarjeta de Google Play o Apple Card, y les darán los números del reverso de la tarjeta. No importa lo que digan, eso es una estafa.
Estafas con tarjetas de regalo iStore
Tenga cuidado con las estafas relacionadas con las tarjetas de regalo de Apple, las tarjetas de regalo de App Store y iTunes, y las tarjetas de regalo de Apple Store.
Tres nuevos paquetes maliciosos de PyPI implementan CoinMiner
FortiGuard ha identificado tres nuevos paquetes maliciosos de PyPI que despliegan un ejecutable CoinMiner en dispositivos Linux, en un análisis publicado en la revista Security Research Review (PSIRT) el miércoles.
China afirma que descifró el AirDrop de Apple para encontrar números y direcciones de correo electrónico
Un instituto de investigación respaldado por el estado chino afirma haber descubierto cómo descifrar los registros de dispositivos para la función AirDrop de Apple, lo que permite al gobierno identificar números de teléfono o direcciones de correo electrónico de quienes compartieron contenido.
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
Cómo las alucinaciones de la IA dificultan la caza de bugs
Los programas de recompensas por errores que pagan a las personas por encontrar errores son una herramienta muy útil para mejorar la seguridad del software. Pero con la disponibilidad de la inteligencia artificial (IA) como se ve en los populares modelos de lenguaje grande (LLM) como ChatGPT, Bard y otros, parece que hay un nuevo problema en el horizonte.
El administrador de BreachForums encarcelado de nuevo por usar una VPN y PC sin supervisión
El administrador detrás del notorio foro de piratería BreachForums ha sido arrestado nuevamente por violar las condiciones de liberación previa al juicio, incluido el uso de una computadora no monitoreada y una VPN.
Nuevo gusano ataca dispositivos Linux
Basado en el malware Mirai, NoaBot autorreplicante instala la aplicación de criptominería en los dispositivos infectados.
Los usuarios de X están hartos del flujo constante de anuncios de criptomonedas maliciosos
Los ciberdelincuentes están abusando de los anuncios X para promocionar sitios web que conducen a drenadores de criptomonedas, lanzamientos aéreos falsos y otras estafas.
Cuenta oficial X de la SEC fue comprometida y utilizada para publicar noticias falsas de Bitcoin
El regulador financiero de EE. UU. dice que su cuenta oficial de @SECGov estaba "comprometida", lo que resultó en una publicación "no autorizada" sobre el estado de los ETF de Bitcoin.
Inyección SQL en Ivanti Endpoint Manager
Ivanti ha descubierto una vulnerabilidad crítica en su producto EPM (Endpoint Manager), de tipo inyección SQL, cuya explotación podría permitir a un atacante remoto ejecutar código.
La cuenta de Mandiant en X fue hackeada para impulsar una estafa de criptomonedas
La cuenta de Twitter de la empresa estadounidense de ciberseguridad y subsidiaria de Google, Mandiant, fue secuestrada hoy para hacerse pasar por la billetera criptográfica Phantom y compartir una estafa de criptomonedas.
La dura y fría comprobación de la realidad de la computación cuántica
La exageración está en todas partes, dicen los escépticos, y las aplicaciones prácticas aún están lejos
detección temprana de dominios malintencionados almacenados
Los actores maliciosos a menudo adquieren una gran cantidad de nombres de dominio (llamados dominios almacenados) al mismo tiempo o configuran su infraestructura de manera automatizada. Lo hacen, por ejemplo, mediante la creación de configuraciones de DNS y certificados para estos dominios mediante scripts.
Gaza Cybergang el Frente Unificado de Hamás
Las superposiciones en la focalización, las características del malware y la evolución del malware a largo plazo después de 2018 sugieren que es probable que los subgrupos de Gaza Cybergang se hayan estado consolidando
Envenenamiento de la cadena de suministro de 7ZIP
Un informe describe cómo el grupo detrás de Lumma Stealer y el malware 7z-soft evadió la detección durante más de un año y actualmente está siendo investigado por Microsoft.
número creciente de aplicaciones maliciosas de préstamos de Android
Los investigadores han identificado un número creciente de aplicaciones maliciosas de préstamos de Android que se utilizan para chantajear y defraudar a los usuarios, y están disponibles para descargar desde tiendas de aplicaciones y sitios web de terceros.
Contrabando SMTP: cómo elude fácilmente sus defensas de correo electrónico
Una técnica recién descubierta que hace un mal uso de los comandos SMTP permite a los ciberdelincuentes pasar las comprobaciones SPF, DKIM y DMARC, lo que permite que los correos electrónicos suplantados lleguen a su víctima.
Atomic Stealer se distribuye a los usuarios de Mac a través de actualizaciones falsas del navegador
MalwareBytes informa que Atomic Stealer (también conocido como AMOS) ahora se está entregando a los usuarios de Mac a través de una cadena de actualización de navegador falsa rastreada como ClearFake.
Vulnerabilidad CVE-2023-46604 (Apache ActiveMQ) explotada para infectar sistemas con criptomineros y rootkits
Trend Vision descubrió la explotación activa de la vulnerabilidad CVE-2023-46604 de Apache ActiveMQ para descargar e infectar sistemas Linux con el malware Kinsing (también conocido como h2miner) y el minero de criptomonedas.
Associated Press, ESPN y CBS entre los principales sitios que ofrecen alertas falsas de virus
ScamClub es un actor de amenazas que ha estado involucrado en actividades de publicidad maliciosa desde 2018. Lo más probable es que te hayas encontrado con una de sus estafas en línea en tu dispositivo móvil. ScamClub es ingenioso y sigue teniendo un profundo impacto en el ecosistema publicitario.
Publicación de la falla PoC para RCE de Splunk Enterprise (CVE-2023-46214)
Se ha hecho público un exploit de prueba de concepto (PoC) para una falla de alta gravedad en Splunk Enterprise (CVE-2023-46214) que puede conducir a la ejecución remota de código.
Omisión de autenticación en VMware Cloud Director Appliance
Dustin Hartle, de Ideal Integrations Inc, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante omitir los mecanismos de autenticación del producto afectado.
Actualización de seguridad de SAP de noviembre de 2023
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 3 notas de seguridad, 1 de severidad crítica y 2 medias. También, se han actualizado 3 notas se seguridad de meses anteriores.
Microsoft corrige cinco vulnerabilidades de día cero
Microsoft ha lanzado correcciones para cinco vulnerabilidades de día cero en su ronda de actualizaciones mensuales, tres de las cuales están siendo explotadas activamente.
Una banda de ransomware presenta una queja ante la SEC por una infracción no revelada de la víctima
La operación de ransomware ALPHV/BlackCat ha llevado la extorsión a un nuevo nivel al presentar una queja ante la Comisión de Bolsa y Valores de EE. UU. contra una de sus presuntas víctimas por no cumplir con la regla de los cuatro días para revelar un ataque cibernético.
Hacktivistas irrumpen en laboratorio de investigación nuclear de EE. UU. y roban datos de empleados
El Laboratorio Nacional de Idaho (INL) confirma que sufrió un ciberataque después de que hacktivistas de SiegedSec filtraran en línea datos de recursos humanos robados.
Múltiples vulnerabilidades en productos Fortinet
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda vulnerabilidades críticas, importantes y moderadas. Una explotación exitosa podría provocar la ejecución de código arbitrario y pérdida de memoria.
Múltiples vulnerabilidades en productos Apple
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Malvertiser copia un sitio de noticias para PC para ofrecer un info-stealer
Los investigadores han identificado una nueva campaña de publicidad maliciosa que utiliza una plantilla que parece casi idéntica a un portal de noticias legítimo de Windows y entrega un instalador de software malicioso a las víctimas.
La aplicación Fake Ledger Live en Microsoft Store roba $768,000 en criptomonedas
Publicada con el nombre Ledger Live Web3, la aplicación falsa parece haber estado presente en Microsoft Store desde el 19 de octubre, pero el robo de criptomonedas comenzó a reportarse hace apenas un par de días.
Sitio web de Cloudflare caído por ataque DDoS reivindicado por Anonymous Sudan
Un grupo de amenazas conocido como Anonymous Sudan afirmó que fueron ellos quienes cerraron el sitio web de Cloudflare en un ataque distribuido de denegación de servicio (DDoS).
QNAP advierte sobre fallas críticas en la inyección de comandos en el sistema operativo y las aplicaciones QTS
QNAP Systems publicó avisos de seguridad para dos vulnerabilidades críticas de inyección de comandos que afectan múltiples versiones del sistema operativo QTS y aplicaciones en sus dispositivos de almacenamiento conectado a la red (NAS).
falla de día cero de SysAid explotada en ataques de ransomware Clop
Los actores de amenazas están explotando una vulnerabilidad de día cero en el software de gestión de servicios SysAid para obtener acceso a servidores corporativos para robar datos e implementar el ransomware Clop.
Un hacker filtra 35 millones de registros de usuarios de LinkedIn
El hacker responsable de esta filtración es el mismo individuo que anteriormente filtró bases de datos de InfraGard y Twitter.
Google advierte cómo los piratas informáticos podrían abusar del servicio de calendario como canal C2 encubierto
Google advierte sobre múltiples actores de amenazas que comparten un exploit público de prueba de concepto (PoC) que aprovecha su servicio Calendario para alojar la infraestructura de comando y control (C2).
Se puede abusar de la red -Find My- de Apple para robar contraseñas registradas
Actores maliciosos pueden abusar de la red de ubicación "Find My" de Apple para transmitir sigilosamente información confidencial capturada por registradores de teclas instalados en los teclados.
Prolífico Puma: el servicio de acortamiento de enlaces Shadowy permite el ciberdelito
Prolífico Puma: el servicio de acortamiento de enlaces Shadowy permite el ciberdelito
Múltiples vulnerabilidades 0day en Microsoft Exchange
Piotr Bazydlo, de la iniciativa Trend Micro Zero Day, ha reportado 4 vulnerabilidades de severidad alta que permite a los atacantes remotos revelar información confidencial y ejecutar código arbitrario sobre las instalaciones afectadas de Microsoft Exchange.
Múltiples vulnerabilidades en VMware Tools.
Hay actualizaciones disponibles para remediar estas vulnerabilidades en VMware afectado
Cómo Kopeechka, un servicio automatizado de creación de cuentas de redes sociales, puede facilitar el ciberdelito
Este informe explora el servicio Kopeechka y brinda un análisis técnico detallado de las características y capacidades del servicio y cómo puede ayudar a los ciberdelincuentes a lograr sus objetivos.
iLeakage: ataques de ejecución especulativa sin temporizador basados en navegador en dispositivos Apple
Presentamos iLeakage, un canal lateral de ejecución transitoria dirigido al navegador web Safari presente en Mac, iPad y iPhone. iLeakage muestra que el ataque Spectre sigue siendo relevante y explotable, incluso después de casi seis años de esfuerzos para mitigarlo desde su descubrimiento.
Advertencia de problemas F5: la vulnerabilidad BIG-IP permite la ejecución remota de código
F5 ha alertado a los clientes sobre una vulnerabilidad de seguridad crítica que afecta a BIG-IP y que podría provocar la ejecución remota de código no autenticado.
La vacante de empleo falsa de Corsair apunta a los usuarios de LinkedIn con el malware DarkGate
Los investigadores de la empresa de seguridad WithSecure han descrito cómo se publican oportunidades laborales falsas en LinkedIn con la intención de difundir malware.
Microsoft hace sonar la alarma sobre Octo Tempest de habla inglesa
Microsoft ha descrito al grupo Octo Tempest (también conocido como Scattered Spider, 0ktapus, UNC3944) como “uno de los grupos criminales financieros más peligrosos” que operan en la actualidad.
Aeropuerto de Querétaro sufre ciberataque
Este martes el Aeropuerto Intercontinental de Querétaro (AIQ) registró un ciberataque en su sistema, sin embargo, se informa a los proveedores, usuarios y público en general que el equipo de expertos ya está trabajando para solucionar el problema.
Grupos hacktivistas utilizan desfiguraciones en el conflicto de Hamás con Israel
Los ataques de desfiguración implican la modificación no autorizada o el vandalismo de un sitio web o aplicación web. Estos ataques normalmente resultan en la alteración del contenido, la apariencia o la funcionalidad del sitio web por parte de atacantes con intenciones maliciosas.
Cuando PAM se vuelve deshonesto: el malware utiliza módulos de autenticación maliciosamente
En este artículo, exploraremos el uso de interfaces de programación de aplicaciones (API) del módulo de autenticación conectable (PAM) en software malicioso. También demostraremos por qué podría ser útil vigilar las API de PAM en un entorno de espacio aislado.
Vulnerabilidad 0day en protocolo HTTP/2 "Rapid Reset"
Cloudfare, en colaboración con Google y Amazon AWS, ha publicado la existencia de una vulnerabilidad 0day denominada ataque "HTTP/2 Rapid Reset". Explotando esta vulnerabilidad del protocolo HTTP/2 se podrían provocar ataques hipervolumétricos de denegación de servicio distribuido (DDoS).
Divulgación coordinada: RCE con 1 clic en GNOME (CVE-2023-43641)
CVE-2023-43641 es una vulnerabilidad en libcue, que puede provocar la ejecución de código al descargar un archivo en GNOME.
El extensor de alcance WiFi D-Link vulnerable a ataques de inyección de comandos
El popular extensor de alcance D-Link DAP-X1860 WiFi 6 es susceptible a una vulnerabilidad que permite ataques DoS (denegación de servicio) e inyección remota de comandos.
Los ataques de LinkedIn Smart Links vuelven a apuntar a cuentas de Microsoft
Los piratas informáticos una vez más están abusando de los enlaces inteligentes de LinkedIn en ataques de phishing para eludir las medidas de protección y evadir la detección en intentos de robar credenciales de cuentas de Microsoft.
Múltiples vulnerabilidades en la función de interfaz de usuario web del software Cisco IOS XE
Cisco proporciona una actualización para la investigación en curso sobre la explotación observada de la función de interfaz de usuario web en el software Cisco IOS XE.
La operación de defensa israelí Cyber Dome impulsada por IA cobra vida
Los israelíes están construyendo un sistema de ciberdefensa que utilizará plataformas de inteligencia artificial generativa similares a ChatGPT para analizar inteligencia sobre amenazas.
La aplicación maliciosa “RedAlert - Rocket Alerts” apunta a llamadas telefónicas, SMS e información de usuarios israelíes
El 13 de octubre de 2023, el equipo de operaciones contra amenazas Cloudforce One de Cloudflare se dio cuenta de que un sitio web alojaba una aplicación de Google para Android (APK) que se hacía pasar por la aplicación legítima RedAlert - Rocket Alerts.
Hacktivismo en el conflicto entre Israel y Hamás
Hasta ahora, el uso de novedosos malware/scareware y herramientas como Redline Stealer y PrivateLoader por parte de estos actores de amenazas continúa apuntando a ciudadanos, empresas y entidades del sector crítico israelíes, causando fugas de datos e interrupciones generalizadas.
Nuevo troyano XorDDoS para Linux
En una investigación en profundidad realizada por Palo Alto Networks se ha descubierto un nuevo troyano XorDDoS, que infecta dispositivos Linux y los utiliza para llevar a cabo ataques distribuidos de denegación de servicio.
La campaña DarkGate abusa de las plataformas de mensajería instantánea para entregar un script de carga VBA a las víctimas.
La campaña DarkGate abusa de las plataformas de mensajería instantánea para entregar un script de carga VBA a las víctimas.
Actor de amenazas cibernéticas vinculado a Gaza apunta a los sectores de energía y defensa israelíes
Un actor de amenazas con sede en Gaza ha sido vinculado a una serie de ataques cibernéticos dirigidos a organizaciones israelíes de energía, defensa y telecomunicaciones del sector privado.
Desbordamiento de búfer en librería glibc de distribuciones Linux
Esta vulnerabilidad se introdujo en abril de 2021, con la versión 2.34 de glibc (commit 2ed18c).
Millones de servidores de correo Exim expuestos a ataques RCE de día cero
Una vulnerabilidad crítica de día cero en todas las versiones del software del agente de transferencia de correo (MTA) de Exim puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.
Progress advierte sobre la vulnerabilidad del servidor WS_FTP de gravedad máxima
Progress Software, el fabricante de la plataforma de intercambio de archivos MOVEit Transfer recientemente explotada en ataques generalizados de robo de datos, advirtió a los clientes que parchearan una vulnerabilidad de máxima gravedad en su software de servidor WS_FTP.
Tequila OS 2.0: La primera distribución Linux forense en Latinoamérica
Estudiantes de la Universidad Nacional Autónoma de México desarrollaron Tequila OS 2.0, la primera distribución Linux en América Latina, especializándose en realizar análisis forenses en español.
Darkbeam fuga millones de combinaciones de correos y contraseñas
DarkBeam dejó desprotegida una interfaz de Elasticsearch y Kibana, exponiendo registros de violaciones de datos reportadas y no reportadas anteriormente.
Múltiples vulnerabilidades en productos Apple
Múltiples investigadores han reportado 61 vulnerabilidades que afectan a varios componentes de diversos productos de Apple. Apple comunica que estas vulnerabilidades afectan a los componentes Kernel y WebKit y están siendo explotadas activamente.
Flipper Zero, el Tamagotchi para hackers, presenta su nueva versión
El "tamagochi de los hackers" lanza una edición limitada transparente. Es tan exclusivo que un mismo cliente no podrá comprar más de dos unidades y la tirada está limitada a solo 7.500 unidades.
Estafador de BEC se declara culpable de participar en un plan de 6 millones de dólares
Un nigeriano extraditado a Estados Unidos se había declarado culpable de su participación en una conspiración multimillonaria para comprometer correos electrónicos comerciales (BEC).
Inyección de comandos en el sistema operativo en EasyPHP Webserver
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a EasyPHP Webserver 14.1, la cual ha sido descubierta por Rafael Pedrero.
Detrás de escena de BBTok: análisis de los componentes del lado del servidor del malware bancario
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina. En la investigación, destacamos cadenas de infección recientemente descubiertas que utilizan una combinación única de binarios Living off the Land (LOLBins). Esto da como resultado bajas tasas de detección, a pesar de que BBTok Banker opera al menos desde 2020. Mientras analizamos la campaña, encontramos algunos de los recursos del lado del servidor del actor de amenazas utilizados en los ataques, dirigidos a cientos de usuarios en Brasil y México.
Trend Micro corrige la protección de endpoints de día cero utilizada en ataques
Trend Micro solucionó una vulnerabilidad de día cero de ejecución remota de código en la solución de protección de terminales Apex One de Trend Micro que fue explotada activamente en los ataques.
Hackers violaron los sistemas de la Corte Penal Internacional la semana pasada
La Corte Penal Internacional (CPI) reveló un ciberataque el martes después de descubrir la semana pasada que sus sistemas habían sido vulnerados.
Detras de la amenaza de BBTok, analisis del lado del servidor.
Check Point Research descubrió recientemente una campaña activa que opera y despliega una nueva variante del banquero BBTok en América Latina.
Múltiples vulnerabilidades en productos Apple
Bill Marczak, de The Citizen Lab de la Escuela Munk de la Universidad de Toronto, y Maddie Stone, de Google Threat Analysis Group, han reportado 3 vulnerabilidades que afectan a varios componentes de diversos productos de Apple.
38 TB de datos expuestos accidentalmente por investigadores de inteligencia artificial de Microsoft
Wiz Research encontró un incidente de exposición de datos en el repositorio GitHub de IA de Microsoft, incluidos más de 30.000 mensajes internos de Microsoft Teams, todos causados por un token SAS mal configurado.
La organización de agua de EE. UU. y Canadá confirma un incidente de ciberseguridad
La Comisión Conjunta Internacional, un organismo que gestiona los derechos de agua a lo largo de la frontera entre Estados Unidos y Canadá, confirmó que su seguridad informática fue atacada, luego de que una banda de ransomware afirmara que robó 80 GB de datos de la organización.
El ataque LockBit falla, el ransomware 3AM interviene como plan B
Los investigadores identificaron recientemente una nueva cepa de ransomware llamada 3AM. Su investigación reveló que el primer uso conocido de este ransomware se produjo cuando los actores de amenazas lo sustituyeron por el ransomware LockBit en un ataque fallido.
Advertencia de CISA: Hackers de los estados-nación explotan las vulnerabilidades de Fortinet y Zoho
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que múltiples actores estatales están explotando fallas de seguridad en Fortinet FortiOS SSL-VPN y Zoho ManageEngine ServiceDesk Plus para obtener acceso no autorizado y establecer persistencia en sistemas comprometidos.
Explotación de día cero de Chrome en estado salvaje, ¡parchea ahora! (CVE-2023-4863)
Google ha lanzado una actualización de seguridad para una vulnerabilidad crítica de día cero en Chrome (CVE-2023-4863) explotada en estado salvaje.
Actualización de seguridad disponible para Adobe Acrobat y Reader
Adobe ha lanzado una actualización de seguridad para Adobe Acrobat y Reader para Windows y macOS. Esta actualización aborda una vulnerabilidad crítica. Una explotación exitosa podría conducir a la ejecución de código arbitrario. Adobe es consciente de que CVE-2023-26369 ha sido explotado libremente en ataques limitados dirigidos a Adobe Acrobat y Reader.
MGM Resorts cierra sus sistemas informáticos tras un ciberataque
MGM Resorts International reveló hoy que está lidiando con un problema de ciberseguridad que afectó a algunos de sus sistemas, incluido su sitio web principal, reservas en línea y servicios en el casino, como cajeros automáticos, máquinas tragamonedas y máquinas de tarjetas de crédito.
Anonymous Sudan intentó eliminar Telegram después de que la aplicación de mensajería prohibiera su cuenta principal.
Anonymous Sudan intentó eliminar Telegram después de que la aplicación de mensajería prohibiera su cuenta principal.
Poderosa milicia étnica de Myanmar repatria a 1.200 chinos sospechosos de estar implicados en delitos cibernéticos
Una de las milicias de minorías étnicas más grandes y poderosas de Myanmar arrestó y repatrió a más de 1.200 ciudadanos chinos presuntamente involucrados en operaciones criminales de estafa en línea.
El último truco de XLoader | Nueva variante de macOS disfrazada de OfficeNote firmada
XLoader ha regresado en una nueva forma y sin dependencias. Escrito de forma nativa en los lenguajes de programación C y Objective C y firmado con la firma de un desarrollador de Apple, XLoader ahora se hace pasar por una aplicación de productividad de oficina llamada "OfficeNote".
Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet
William Costa, del equipo CSE de Fortinet, ha notificado una vulnerabilidad de severidad alta que podría permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso en una página de gestión de invitados.
Routers ASUS se ven afectados por 3 nuevas fallas de RCE
Tres vulnerabilidades críticas de ejecución remota de código en los enrutadores ASUS permiten potencialmente a los atacantes secuestrar los dispositivos de red.
Boletín de seguridad de Android de septiembre de 2023
El boletín de Android, relativo a septiembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).
El kit de phishing W3LL secuestra cuentas de Microsoft 365 y elude MFA
Un actor de amenazas conocido como W3LL desarrolló un kit de phishing que puede eludir la autenticación multifactor junto con otras herramientas que comprometieron más de 8000 cuentas corporativas de Microsoft 365.
Las actualizaciones de VMware Aria Operations for Networks abordan múltiples vulnerabilidades. (CVE-2023-34039, CVE-2023-20890)
Se informaron de manera responsable a VMware múltiples vulnerabilidades en Aria Operations for Networks. Hay actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.
JPCERT de Japón advierte sobre nuevo ataque MALDOC EN PDF
JPCERT de Japón advierte sobre un nuevo ataque "MalDoc en PDF" detectado recientemente que incrusta archivos maliciosos de Word en archivos PDF.
Servidores de correo electrónico del gobierno de EE. UU. pirateados en ataques de dispositivos Barracuda (seguimiento).
Presuntos piratas informáticos chinos atacaron organizaciones vinculadas a gobiernos en todo el mundo en ataques recientes dirigidos a un Barracuda Email Security Gateway (ESG) de día cero, con un enfoque en entidades de toda América.
Comportamientos extraños en dominios de nivel superior crean incertidumbre en DNS
Google presentó el nuevo dominio de nivel superior (TLD) “.zip” el 3 de mayo de 2023, lo que provocó una tormenta de controversia cuando las organizaciones de seguridad advirtieron contra la confusión que seguramente ocurriría.
Enfrenta Semarnat hackeo en todos sus sistemas; en riesgo, información de todo el sector ambiental
Enfrenta Semarnat hackeo en todos sus sistemas; en riesgo, información de todo el sector ambiental.
Vulnerabilidad del dispositivo de puerta de enlace de seguridad de correo electrónico (ESG) de Barracuda
Mandiant evalúa que un número limitado de víctimas previamente afectadas que no han seguido las instrucciones de Barracuda para reemplazar sus electrodomésticos afectados aún pueden enfrentar riesgos asociados con esto.
CVE-2023-38035: Vulnerabilidad que afecta a Ivanti Sentry
Se ha descubierto una vulnerabilidad en Ivanti Sentry, anteriormente MobileIron Sentry. Hemos informado esto como CVE-2023-38035. Esta vulnerabilidad afecta a todas las versiones compatibles: versiones 9.18. 9.17 y 9.16. Las versiones/lanzamientos anteriores también están en riesgo.
DEF CON 31: El Departamento de Defensa de EE. UU. insta a los piratas informáticos a piratear la "IA"
El Dr. Craig Martell, director de Inteligencia Digital y Artificial del Departamento de Defensa de los Estados Unidos, hizo un llamado a la audiencia en DEF CON 31 en Las Vegas para que piratearan modelos de lenguaje grandes (LLM).
La primera actualización de seguridad semanal de Chrome corrige vulnerabilidades de alta gravedad
Google ha lanzado la primera actualización de seguridad semanal de Chrome, que corrige cinco vulnerabilidades de seguridad de la memoria, incluidas cuatro clasificadas como de "alta gravedad".
#OPFUKUSHIMA: GRUPO ANONYMOUS PROTESTA CONTRA EL PLAN DE VERTER AGUAS RESIDUALES RADIACTIVAS DE FUKUSHIMA AL PACÍFICO
El famoso colectivo Anonymous ha lanzado ciberataques contra sitios web nucleares japoneses en relación con el plan hidráulico contaminante de Fukushima.
Hackers adolescentes de Lapsus$ condenados por ciberataques de alto perfil
Un jurado de Londres determinó que un miembro de 18 años de la banda de extorsión de datos Lapsus$ ayudó a piratear varias empresas de alto perfil, les robó datos y exigió un rescate amenazando con filtrar la información.
Denegación de servicio en productos de Cisco
Descripción Cisco ha publicado 3 vulnerabilidades de severidad alta que podrían provocar que un atacante realice una denegación de servicio.
WHIFFY RECON MALWARE TRIANGULA LA POSICIÓN DE LOS SISTEMAS INFECTADOS MEDIANTE WI-FI
Los expertos observaron que el malware SmokeLoader entregaba una nueva cepa de malware de escaneo de Wi-Fi denominada Whiffy Recon.
Cuba Ransomware implementa nuevas herramientas: apunta al sector de infraestructura crítica
Los investigadores han descubierto y documentado nuevas herramientas utilizadas por el grupo de amenazas de ransomware Cuba. El ransomware Cuba se encuentra actualmente en el cuarto año de su operación y no muestra signos de desaceleración.
Hacktivistas atacan al gobierno japonés por la liberación de aguas residuales de Fukushima
Afirmando su afiliación con Anonymous, los e-hippies quieren más debate sobre los flujos radiactivos
Cómo y por qué los ciberdelincuentes fabrican fugas de datos
Una mirada más cercana a la naturaleza de las fugas falsas puede brindar orientación sobre cómo mitigar de manera efectiva los riesgos asociados.
Actualización de seguridad de SAP de agosto de 2023
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Los piratas informáticos abusan cada vez más de los túneles de Cloudflare para conexiones sigilosas
Los piratas informáticos abusan cada vez más de la función legítima de los túneles de Cloudflare para crear conexiones HTTPS sigilosas desde dispositivos comprometidos, eludir los firewalls y mantener la persistencia a largo plazo.
Microsoft corrige más de 80 fallas, incluidas dos de día cero
Microsoft lanzó ayer actualizaciones para 87 vulnerabilidades, incluidas dos que se están explotando activamente en la naturaleza. El primer día cero se reveló públicamente en el Patch Tuesday del mes pasado, según el ingeniero de investigación sénior de Tenable, Satnam Narang.
CISA publica informes de análisis de malware en Backdoor de Barracuda
CISA ha publicado un informe de análisis de malware adicional asociado con la actividad maliciosa de Barracuda. El informe proporciona un análisis de cuatro muestras de malware.
SiegedSec Hacktivist afirma atacar a la OTAN y filtrar documentos confidenciales
En su canal Telegram, el grupo SiegedSec afirmó que su pirateo de la OTAN no tiene nada que ver con la guerra entre Rusia y Ucrania, y simplemente destaca los abusos de los derechos humanos por parte de la OTAN.
Base de datos de BreachForums y chats privados a la venta en filtración
Si bien los consumidores suelen ser los que se preocupan por la exposición de su información en las filtraciones de datos, ahora es el turno de los piratas informáticos, ya que la base de datos del notorio foro de delitos cibernéticos Breached está a la venta y los datos de los miembros se comparten con Have I Been Pwned.
El sitio web de la refinería de petróleo más grande de Israel fuera de línea después del ataque DDoS
El sitio web del operador de refinería de petróleo más grande de Israel, BAZAN Group, es inaccesible desde la mayor parte del mundo, ya que los actores de amenazas afirman haber pirateado los sistemas cibernéticos del Grupo.
Los piratas informáticos respaldados por Rusia utilizaron Microsoft Teams para violar las agencias gubernamentales
Los piratas informáticos patrocinados por el estado ruso se hicieron pasar por personal de soporte técnico en los equipos de Microsoft para comprometer a docenas de organizaciones globales, incluidas las agencias gubernamentales.
Fenix Cybercrime Group se hace pasar por autoridades fiscales para apuntar a usuarios latinoamericanos
Las personas que pagan impuestos en México y Chile han sido atacadas por un grupo de ciberdelincuencia con sede en México que se hace llamar Fenix para violar redes específicas y robar datos valiosos.
Servicios de atención primaria de EE. UU. cerrados después de un ataque cibernético
Un ataque cibernético generalizado en los sistemas informáticos de los hospitales ha causado interrupciones significativas en los Estados Unidos, lo que ha provocado el cierre de salas de emergencia en varios estados y el desvío de ambulancias.
Dog Hunt: Encontrar el kit de herramientas para Decoy Dog a través del tráfico DNS anómalo
A medida que los actores de amenazas han madurado durante la última década, han aprendido a evadir los métodos de detección estándar de la industria y se adaptan constantemente. Se sabe que a menudo registran un dominio, pero no lo usan por un tiempo: una técnica llamada envejecimiento estratégico.
Botnet Fenix: Nueva botnet que persigue a los contribuyentes en México y Chile
Los investigadores descubrieron recientemente un grupo local que creó una nueva botnet autoproclamada como "Fenix", que apunta específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile.
Apple abordó un nuevo día cero explotado activamente rastreado como CVE-2023-38606
Apple lanzó actualizaciones de seguridad para abordar una falla de día cero explotada activamente en iOS, iPadOS, macOS, tvOS, watchOS y Safari.
Vulnerabilidad RCE en ssh-agent de OpenSSH
El equipo Qualys Threat Research Unit (TRU) ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante remoto ejecutar comandos arbitrarios a través del ssh-agent de OpenSSH.
Chrome 115 Parcha 20 Vulnerabilidades
Chrome 115 se lanzó con parches para 20 vulnerabilidades, incluidas 11 informadas por investigadores externos, que ganaron miles de dólares en recompensas de "bug bounty".
Caimán manipulado: la sofisticada trampa de los depredadores bancarios de México
Quitando las capas de engaño, nos adentramos en una compleja operación de phishing que los investigadores de Perception Point han denominado "Caimán manipulado".
WormGPT, la herramienta de IA generativa para lanzar sofisticados ataques BEC
Investigadores de SlashNext advierten sobre los peligros relacionados con una nueva herramienta generativa de cibercrimen de IA denominada WormGPT. Dado que los chatbots como ChatGPT llegaron a los titulares, los expertos en seguridad cibernética advirtieron sobre posibles abusos de la inteligencia artificial (IA) generativa que los ciberdelincuentes pueden explotar para lanzar ataques sofisticados.
Cómo los hackers pueden secuestrar un satélite
Una computadora que vuela cientos o incluso miles de kilómetros en el cielo, a una velocidad de decenas de miles de kilómetros por hora, sigue siendo, sin embargo, una computadora. Y cada computadora conectada tiene una superficie de ataque.
Fortinet lanza actualización de seguridad para FortiOS y FortiProxy
Fortinet ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica (CVE-2023-33308) que afecta a FortiOS y FortiProxy. Un atacante remoto puede aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. CISA alienta a los usuarios y administradores a revisar la versión de seguridad de Fortinet FG-IR-23-183 y aplicar las actualizaciones necesarias.
El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas
Hoy es dia de parches Microsoft, con actualizaciones de seguridad para 132 fallas, incluidas seis vulnerabilidades explotadas activamente y treinta y siete vulnerabilidades de ejecución remota de código. Si bien se corrigieron treinta y siete errores de RCE, Microsoft solo calificó nueve como "Críticos". Sin embargo, una de las fallas de RCE permanece sin parchear y se explota activamente en ataques vistos por numerosas empresas de ciberseguridad.
Typo envía millones de correos electrónicos militares estadounidenses al aliado ruso Mali
Millones de correos electrónicos militares de EE. UU. se han enviado por error a Malí, un aliado de Rusia, debido a un error de escritura menor. Los correos electrónicos destinados al dominio ".mil" del ejército estadounidense se han enviado durante años al país de África occidental que termina con el sufijo ".ml".
La Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Mientras aun se espera el catalogado y publicación de los 6TB de documentos filtrados por el grupo "Guacamaya" , la Armada de México recibe de EEUU un nuevo laboratorio para ciberdefensa y ciberseguridad
Nueva herramienta explota el error de Microsoft Teams para enviar malware a los usuarios
Un miembro del "Red Team" del US Navy ha publicado una herramienta llamada TeamsPhisher que aprovecha un problema de seguridad no resuelto en Microsoft Teams para eludir las restricciones de archivos entrantes de usuarios fuera de una organización objetivo, los llamados inquilinos externos.
0day de tipo ejecución de código arbitrario en WebKit de Apple
Un investigador anónimo ha informado a Apple de una vulnerabilidad, de tipo 0day, que podría permitir a un atacante ejecutar código arbitrario.
Progress Software lanza Service Pack para vulnerabilidades de transferencia de MOVEit
Progress Software ha lanzado un Service Pack para abordar tres vulnerabilidades recientemente reveladas (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) en MOVEit Transfer. Un actor de amenazas cibernéticas podría explotar algunas de estas vulnerabilidades para obtener información confidencial. CISA alienta a los usuarios a revisar el artículo MOVEit Transfer de Progress Software y aplicar las actualizaciones del producto según corresponda para mejorar la seguridad.
Pirata informático con sede en México apunta a bancos globales con malware para Android
Un atacante de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023. La actividad se atribuye a un actor cuyo nombre en código es Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
Más de 300 000 firewalls de Fortinet son vulnerables a errores críticos de FortiOS RCE
Cientos de miles de firewalls FortiGate son vulnerables a un problema de seguridad crítico identificado como CVE-2023-27997, casi un mes después de que Fortinet publicara una actualización que soluciona el problema. La vulnerabilidad es una ejecución remota de código con una puntuación de gravedad de 9,8 sobre 10 como resultado de un problema de desbordamiento de búfer basado en heap en FortiOS, el sistema operativo que conecta todos los componentes de red de Fortinet para integrarlos en la plataforma Security Fabric del proveedor.
ChatGPT engañado para generar claves de Windows 10 y Windows 11
Un usuario de Twitter utilizó con éxito el "exploit de la abuela" para engañar a ChatGPT y adquirir varios códigos de Windows 10.
Hackers afirman inhabilitar al proveedor ruso de comunicaciones por satélite.
Un grupo de hackers previamente desconocidos se atribuyó la responsabilidad de un ataque cibernético contra el proveedor ruso de comunicaciones por satélite Dozor-Teleport, que es utilizado por las empresas de energía y los servicios de defensa y seguridad del país.
Las autoridades estadounidenses confiscan el dominio BreachForums
El gobierno de EE. UU. finalmente parece haber capturado los dominios de clear web asociados con el notorio mercado de filtraciones BreachForums, a pesar del arresto del propietario del sitio hace meses.
Vulnerabilidad de día cero ESG de Barracuda (CVE-2023-2868) explotada globalmente por un actor agresivo y hábil, presuntos vínculos con China
El 23 de mayo de 2023, Barracuda anunció que una vulnerabilidad de día cero (CVE-2023-2868) en Barracuda Email Security Gateway (ESG) había sido explotada "in the wild" , en octubre de 2022 contrataron a Mandiant para ayudar en la investigacion, Mandiant identificó a un presunto actor con nexos con China, actualmente rastreado como UNC4841, apuntando a un subconjunto de dispositivos Barracuda ESG utilizados como vector de espionaje, que abarca una multitud de regiones y sectores. Mandiant evalúa con gran confianza que UNC4841 es un agente de espionaje detrás de esta amplia campaña en apoyo de la República Popular China.
RecordBreaker Infostealer disfrazado de instalador .NET
Si el malware se ejecuta en un entorno de usuario normal, el archivo de malware cifrado se descarga del servidor del autor de la amenaza y se ejecuta. El malware en este caso es RecordBreaker (Raccoon Stealer V2) Infostealer. Sin embargo, en un entorno virtual, se descarga un instalador de actualización de .NET desde el sitio web oficial de Microsoft en lugar del malware. Después de descargar el instalador, se ejecuta y finaliza.
Fortinet corrige falla crítica de ejecución de comandos remotos de FortiNAC
La empresa de soluciones de ciberseguridad Fortinet ha actualizado su solución de acceso de confianza cero FortiNAC para abordar una vulnerabilidad de gravedad crítica que los atacantes podrían aprovechar para ejecutar código y comandos. FortiNAC permite a las organizaciones administrar políticas de acceso a toda la red, obtener visibilidad de dispositivos y usuarios, y proteger la red contra accesos no autorizados y amenazas. El problema de seguridad se rastrea como CVE-2023-33299 y recibió una puntuación de gravedad crítica de 9,6 sobre 10. Es una deserialización de datos que no son de confianza que puede conducir a la ejecución remota de código (RCE) sin autenticación.
Vulnerabilidad crítica de RCE CVE-2023-20887 en VMware vRealize explotada "in the wild"
VMware advierte a los clientes que una vulnerabilidad crítica de ejecución remota de código en Aria Operations for Networks (anteriormente vRealize Network Insight), rastreada como CVE-2023-20887, se está explotando activamente en la naturaleza. “VMware ha confirmado que la explotación de CVE-2023-20887 se ha producido en la naturaleza”, se lee en el aviso.
ASUS insta a los clientes a reparar las vulnerabilidades críticas de sus routers
ASUS ha lanzado un nuevo firmware con actualizaciones de seguridad acumulativas que abordan las vulnerabilidades en múltiples modelos de enrutadores, advirtiendo a los clientes que actualicen inmediatamente sus dispositivos o restrinjan el acceso a la WAN hasta que estén protegidos. Como explica la compañía, el firmware recién lanzado contiene correcciones para nueve fallas de seguridad, incluidas las más altas y críticas.
Nuevo sitio BreachForums hackeado por rivales
El sitio reencarnado de BreachForums acaba de ser hackeado y su base de datos de usuarios publicada. El equipo de investigación de Cybernews ha confirmado que la base de datos filtrada es legítima. No ha pasado ni una semana desde que el mercado de delitos informáticos BreachForums pareció haber resucitado con la ayuda de su antiguo segundo al mando. Sin embargo, los usuarios de los mercados de delitos cibernéticos rivales ahora comparten una base de datos que contiene los detalles de 4700 usuarios de los nuevos BreachForums.
Apple corrige los días cero utilizados para implementar el software espía Triangulación a través de iMessage
Apple abordó tres nuevas vulnerabilidades de día cero explotadas en ataques que instalan software espía Triangulación en iPhones a través de vulnerabilidades de clic cero de iMessage. "Apple está al tanto de un informe de que este problema puede haber sido explotado activamente contra versiones de iOS lanzadas antes de iOS 15.7", dice la compañía al describir las vulnerabilidades de Kernel y WebKit rastreadas como CVE-2023-32434 y CVE-2023-32435.
Anonymous filtra documentos del gobierno cubano
El grupo hacktivista Anonymous filtro 6.38 Gb de documentos del gobierno cubano en el seguimiento de su campaña contra el gobierno dictatorial de la isla.
Ciudadano ruso arrestado y acusado de conspirar para cometer ataques de ransomware LockBit contra EE. UU. y Negocios Extranjeros
El Departamento de Justicia anunció hoy cargos contra un ciudadano ruso por su participación en el despliegue de numerosos ransomware LockBit y otros ataques cibernéticos contra los sistemas informáticos de las víctimas en los Estados Unidos, Asia, Europa y África.
software de transferencia de archivos MOVEit Transfer victima de ransomware
Progress Software es una empresa estadounidense que proporciona MOVEit Transfer a muchas empresas para que puedan mover archivos de forma segura en los sistemas de la empresa. En un aviso de seguridad publicado por la empresa, se reveló que se había descubierto una vulnerabilidad en el software MOVEit Transfer que podría conducir a "privilegios aumentados y posible acceso no autorizado al entorno". El 27 de mayo de 2023, la pandilla de ransomware CL0P, también conocida como TA505, comenzó a explotar una vulnerabilidad de inyección SQL previamente desconocida (CVE-2023-34362) en el software MOVEit Transfer. Entre las victimas se encuentran: BBC, British Airways y Ernst & Young entre otros.
La nueva campaña de Horabot apunta a las Américas
Cisco Talos ha observado a un actor de amenazas que implementa un programa de botnet previamente no identificado que Talos llama "Horabot", que entrega un troyano bancario conocido y una herramienta de spam en las máquinas de las víctimas en una campaña que ha estado en curso desde al menos noviembre de 2020. El actor de amenazas parece estará dirigido a usuarios de habla hispana en las Américas y, según el análisis de Talos, podría estar ubicado en Brasil. Horabot permite que el actor de amenazas controle el buzón de correo de Outlook de la víctima, extraiga las direcciones de correo electrónico de los contactos y envíe correos electrónicos de phishing con archivos adjuntos HTML maliciosos a todas las direcciones en el buzón de la víctima. El troyano bancario puede recopilar las credenciales de inicio de sesión de la víctima para varias cuentas en línea, información del sistema operativo y pulsaciones de teclas. También roba códigos de seguridad de un solo uso o tokens de software de las aplicaciones de banca en línea de la víctima. La herramienta de spam compromete las cuentas de correo web de Yahoo, Gmail y Outlook, lo que permite que el actor de amenazas tome el control de esos buzones, extraiga las direcciones de correo electrónico de sus contactos y envíe correos electrónicos no deseados.
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
El 19 de mayo de 2023, Barracuda Networks identificó una vulnerabilidad de inyección de comando remoto (CVE-2023-2868) presente en las versiones 5.1.3.001-9.2.0.006 de Barracuda Email Security Gateway (solo factor de forma de dispositivo). La vulnerabilidad provino de una validación de entrada incompleta de los archivos .tar proporcionados por el usuario en lo que respecta a los nombres de los archivos contenidos en el archivo. En consecuencia, un atacante remoto podría formatear los nombres de los archivos de una manera particular que daría como resultado la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway. La investigación de Barracuda hasta la fecha ha determinado que un tercero usó la técnica descrita anteriormente para obtener acceso no autorizado a un subconjunto de dispositivos ESG.
Microsoft 365 phishing attacks use encrypted RPMSG messages
Attackers are now using encrypted RPMSG attachments sent via compromised Microsoft 365 accounts to steal Microsoft credentials in targeted phishing attacks designed to evade detection by email security gateways.
Dark Web Bust Leads to Arrest of 288 Suspects
International police have arrested nearly 300 individuals on suspicion of buying or selling drugs on underground marketplace Monopoly Market.
LockBit for Mac | How Real is the Risk of macOS Ransomware?
LockBit claims to be “the oldest ransomware affiliate program on the planet”, and news that one of the major cybercrime outfits in the ransomware landscape was now targeting macOS devices has predictably raised concerns about the ransomware threat on Mac devices.
Apple fixes recently disclosed zero-days on older iPhones and iPads
Apple has released emergency updates to backport security patches released on Friday, addressing two actively exploited zero-day flaws also affecting older iPhones, iPads, and Macs.
Google Chrome emergency update fixes first zero-day of 2023
Google has released an emergency Chrome security update to address the first zero-day vulnerability exploited in attacks since the start of the year. "Google is aware that an exploit for CVE-2023-2033 exists in the wild," the search giant said in a security advisory published on Friday.
Beware of new YouTube phishing scam using authentic email address
Watch out for a new YouTube phishing scam and ignore any email from YouTube that claims to provide details about “Changes in YouTube rules and policies | Check the Description.”
Researcher Tricks ChatGPT Into Building Undetectable Steganography Malware
Using only ChatGPT prompts, a Forcepoint researcher convinced the AI to create malware for finding and exfiltrating specific documents, despite its directive to refuse malicious requests.
HP to patch critical bug in LaserJet printers within 90 days
HP announced in a security bulletin this week that it would take up to 90 days to patch a critical-severity vulnerability that impacts the firmware of certain business-grade printers. The security issue is tracked as CVE-2023-1707 and it affects about 50 HP Enterprise LaserJet and HP LaserJet Managed Printers models.
Emotet Resumes Spam Operations, Switches to OneNote
Following its initial return to spamming operations, Emotet was leveraging heavily padded Microsoft Word documents in an attempt to evade detection. By leveraging a large number of inconsequential bytes in their documents, they could increase the size of the documents to surpass the maximum file size restrictions that automated analysis platforms like sandboxes and anti-virus scanning engines enforce.
Mispadu Trojan Steals 90,000+ Banking Credentials From Latin American Victims
Twenty different spam campaigns relying on the Mispadu banking Trojan were discovered targeting victims in Chile, Mexico, Peru and Portugal.
BreachForums current Admin Baphomet shuts down BreachForums
Baphomet, the current administrator of BreachForums, announced that the popular hacking forum has been officially taken down.
FiXS, a new ATM malware that is targeting Mexican banks
Researchers at Metabase Q discovered a new ATM malware, dubbed FiXS, that was employed in attacks against Mexican banks since February 2023.
The Titan Stealer: Notorious Telegram Malware Campaign
Titan Stealer malware, which is being marketed and sold by a threat actor (TA) through a Telegram channel for cybercrime purposes. The stealer is capable of stealing a variety of information from infected Windows machines, including credential data from browsers and crypto wallets, FTP client details, screenshots, system information, and grabbed files.
Google sponsored ads malvertising targets password manager
Malwarebytes researchers have found a more direct way to get at your login credentials by phishing for popular password manager 1Password, as well as using Google sponsored ads to trick people into downloading malware.
OneNote Documents Increasingly Used to Deliver Malware
Proofpoint researchers recently identified an increase in threat actor use of OneNote documents to deliver malware via email to unsuspecting end-users in December 2022 and January 2023.
GoDaddy Announces Source Code Stolen and Malware Installed in Breach
Web hosting company GoDaddy has revealed that an unauthorized party gained access to its servers and installed malware, causing the intermittent redirection of customer websites.
Hackers start using Havoc post-exploitation framework in attacks
Security researchers are seeing threat actors switching to a new and open-source command and control (C2) framework known as Havoc as an alternative to paid options such as Cobalt Strike and Brute Ratel.
Experts Warn of Surge in Multipurpose Malware
Experts Warn of Surge in Multipurpose Malware
New ESXiArgs ransomware version prevents VMware ESXi recovery
New ESXiArgs ransomware attacks are now encrypting more extensive amounts of data, making it much harder, if not impossible, to recover encrypted VMware ESXi virtual machines.
Reddit was hit with a phishing attack
How it responded is a lesson for everyone
Malicious Google ads sneak AWS phishing sites into search results
Malicious Google ads sneak AWS phishing sites into search results
EvilProxy Phishing-as-a-Service con omisión de MFA surgió en la Dark Web
Resecurity ha identificado un nuevo servicio clandestino que permite a los ciberdelincuentes eludir los mecanismos de autenticación 2FA (MFA) a gran escala sin necesidad de piratear los servicios anteriores o la cadena de suministro. Los actores de EvilProxy están utilizando métodos de inyección de cookies y proxy inverso para eludir la autenticación 2FA: la sesión de la víctima de proxy.
La nueva campaña de ataque de Golang aprovecha las macros de Office y las imagenes del telescopio Webb
El equipo de investigación de Securonix Threat identificó recientemente una muestra única de una campaña de ataque persistente basada en Golang rastreada por Securonix como GO#WEBBFUSCATOR. La nueva campaña incorpora una estrategia igualmente interesante al aprovechar la infame imagen de campo profundo tomada del telescopio James Webb y las cargas útiles ofuscadas del lenguaje de programación Golang para infectar el sistema de destino con el malware.
Ataque AiTM a gran escala dirigido a usuarios empresariales de servicios de correo Microsoft
Los investigadores de seguridad descubrieron una nueva variedad de una campaña de phishing a gran escala, que utiliza técnicas de adversario en el medio (AiTM) junto con varias tácticas de evasión. Se utilizaron técnicas similares de phishing AiTM en otra campaña de phishing descrita recientemente por Microsoft.
Infección de Emotet con Cobalt Strike
Emotet ha permanecido activo desde febrero de 2022. Hoy jueves 2022-07-07, hay un nuevo ejemplo de una infección de Emotet con Cobalt Strike para compartir.
El nuevo malware HiddenAds afecta a más de 1 millón de usuarios y se oculta en Google Play
Los investigadores de seguridad identificaron nuevo malware en Google Play Store. El malware oculta y muestra continuamente anuncios a las víctimas. Además, ejecutan servicios maliciosos automáticamente tras la instalación sin ejecutar la aplicación.
CosmicStrand: el descubrimiento de un sofisticado rootkit de firmware UEFI
Los rootkits son implantes de malware que se entierran en los rincones más profundos del sistema operativo. Aunque en el papel pueden parecer atractivos para los atacantes, crearlos plantea importantes desafíos técnicos y el más mínimo error de programación tiene el potencial de colapsar por completo la máquina víctima. En nuestras predicciones de APT para 2022, notamos que, a pesar de estos riesgos, esperábamos que más atacantes alcanzaran el nivel de sofisticación necesario para desarrollar tales herramientas. Uno de los principales atractivos del malware anidado en niveles tan bajos del sistema operativo es que es extremadamente difícil de detectar y, en el caso de los rootkits de firmware, asegurará que una computadora permanezca en un estado infectado incluso si el sistema operativo se reinstala o el usuario reemplaza el disco duro de la máquina por completo.
IPFS: el nuevo foco de phishing
Hace unos meses, Trustwave informó sobre un sitio interesante llamado Chameleon Phishing Page. Estos sitios web tienen la capacidad de cambiar su fondo y logotipo según el dominio del usuario. El sitio de phishing se almacena en IPFS (Sistema de archivos interplanetarios) y después de revisar las URL utilizadas por el atacante, notamos un número creciente de correos electrónicos de phishing que contienen URL de IPFS como carga útil.
Malware sigiloso de OpenDocument desplegado contra hoteles latinoamericanos
A fines de junio de 2022, HP Wolf Security aisló una campaña de malware inusualmente sigilosa que usaba archivos de texto OpenDocument (.odt) para distribuir malware. OpenDocument es un formato de archivo abierto e independiente del proveedor compatible con varias suites de productividad de oficina populares, incluidas Microsoft Office, LibreOffice y Apache OpenOffice. Como se describe en una publicación de blog de Cisco Talos, la campaña está dirigida a la industria hotelera en América Latina. Los hoteles objetivo son contactados por correo electrónico con solicitudes de reserva falsas. En el caso a continuación, el documento adjunto supuestamente era un documento de registro de invitados.
El malware más buscado de julio de 2022
Después de un pico en el impacto global de Emotet el mes pasado, Emotet ha vuelto a sus números de impacto global y continúa como el malware más extendido. Posiblemente terminó el pico, debido a las vacaciones de verano como se vio en el pasado. Sin embargo, constantemente se descubren nuevas características y mejoras en las capacidades de Emotet, como el desarrollo de su último módulo de ladrón de tarjetas de crédito y los ajustes realizados en sus sistemas de difusión.
Troyano Lampion en mails apocrifos de WeTransfer
Los analistas del Cofense Phishing Defense Center (PDC) analizaron recientemente los correos electrónicos de phishing que solicitan a los usuarios que descarguen una "Prueba de pago" que era el troyano bancario Lampion. El troyano bancario Lampion existe desde 2019, pero esta es la primera vez que Cofense lo analiza. Utilizando la plataforma en la nube de confianza utilizada para los pagos, WeTransfer, los actores de amenazas intentan ganarse la confianza de los usuarios mientras aprovechan el servicio proporcionado por el popular sitio. Al aprovechar un sitio de pago confiable, no sorprende ver que los actores de amenazas alinean su mensaje de correo electrónico para este proceso.
Symbiote Deep-Dive: análisis de una nueva amenaza de Linux casi imposible de detectar
En biología, un simbionte es un organismo que vive en simbiosis con otro organismo. La simbiosis puede ser mutuamente beneficiosa para ambos organismos, pero a veces puede ser parasitaria cuando uno se beneficia y el otro se perjudica. Hace unos meses, descubrimos un nuevo malware para Linux® no detectado que actúa con esta naturaleza parasitaria. Acertadamente hemos llamado a este malware Symbiote.
RiskIQ: CVE-2022-30190: La vulnerabilidad de Follina en la herramienta de diagnóstico de Microsoft MSDT podría conducir a la ejecución de código
CVE-2022-30190, también conocido con el nombre "Follina", existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) usando su protocolo URL desde una aplicación como Microsoft Office o mediante un archivo RTF. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.
Bumblebee Malware de TransferXL URLs
El mes pasado, el Grupo de análisis de amenazas (TAG) de Google informó sobre EXOTIC LILY utilizando servicios de transferencia de archivos como TransferNow, TransferXL, WeTransfer o OneDrive para distribuir malware. Leer más aquí. Usando esta información, Duncan encontró un puñado adicional de URL TransferXL activas que entregan archivos ISO para el malware Bumblebee.
EL Grandoreiro Banking Malware Regresa
Trustwave SpiderLabs a principios de abril observó una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Phishing Domains Mimic Fortinet
"Mientras investigamos la infraestructura relacionada con el cargador de malware BUMBLEBEE, encontramos dos dominios sospechosos y varios subdominios que imitan a Fortinet"
Emotet: Nuevo mecanismo de entrega para eludir la protección de VBA
El 26 de abril de 2022, se detectó una nueva campaña de Emotet en la que se reemplazó el sistema de entrega habitual de Office por archivos LNK, en una clara respuesta a la protección VBA lanzada por Microsoft. Los investigadores encontraron 139 archivos LNK distintos que son parte de la misma campaña, entregando dos cargas útiles distintas que comparten la misma infraestructura C2.
BPFDoor: la herramienta china casi desapercibida durante CINCO años es la segunda basada en BPF
Los investigadores han descubierto una herramienta de vigilancia china altamente evasiva que utiliza el filtro de paquetes de Berkeley (BPF). El malware, denominado BPFDoor, está presente en “miles” de sistemas Linux, su controlador ha pasado casi completamente desapercibido para los proveedores de protección de puntos finales a pesar de haber estado en uso durante al menos cinco años.
Public Cloud Cybersecurity Threat Intelligence (202204)
Con la popularidad de los servicios en la nube, los problemas de seguridad en la nube se han vuelto cada vez más importantes. Los atacantes a menudo comprometen los servidores en la nube y usan las máquinas comprometidas para continuar con sus ataques.
SYK Crypter distribuye familias de malware a través de Discord
Con un 50% más de usuarios el año pasado que en 2020, la cantidad de personas que utilizan la plataforma de chat comunitario Discord está creciendo a un ritmo vertiginoso. Esto ha llevado a los ciberdelincuentes a refinar y expandir los casos de uso de ataques maliciosos para la plataforma. En este informe de investigación de amenazas, Morphisec revela cómo los actores de amenazas están utilizando Discord como parte de una cadena de ataque cada vez más popular con un nuevo encriptador SYK diseñado para burlar los controles de seguridad basados en firmas y comportamiento.
Vulnerabilidades de VMware explotadas en estado salvaje (CVE-2022-22954 y otras)
Los productos de VMware corren el riesgo de ser atacados por malware, según un informe publicado por la Unidad 42 de Palo Alto Networks y una Alerta CISA emitida por el gobierno de EE. UU. el 18 de mayo de 2022.
Mirai Malware for Linux Double Down en chips más fuertes
Las variantes del malware Mirai compiladas para servidores Linux y equipos de red con tecnología Intel han aumentado más del 100 % en los últimos tres años, según una investigación de la firma de seguridad CrowdStrike. el primero de su tipo.
La red de bots Emotet vuelve a crecer
Si trabajas en ciberseguridad, probablemente hayas oído hablar de la botnet Emotet. Alguna vez considerada la botnet de malware más grande del mundo hace más de un año, Emotet estaba compuesta por cientos de servidores de comando y control y casi dos millones de víctimas. Emotet era tan grande que se necesitó un esfuerzo conjunto entre los organismos encargados de hacer cumplir la ley y las autoridades de los Países Bajos, Alemania, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania para permitir que los investigadores tomaran el control de los servidores de la botnet, interrumpieran la operación del malware y arrestar a dos operadores.
Grandoreiro Banking Malware resurge para la temporada de impuestos
Los investigadores observaron a principios de abril una campaña de malware Grandoreiro dirigida a usuarios bancarios de Brasil, España y México. La campaña aprovecha la temporada de impuestos en los países objetivo mediante el envío de correos electrónicos de phishing relacionados con los impuestos.
Ladrón de información apunta a billeteras criptográficas a través de una actualización falsa de Windows 11
Desde su aparición en 2008, la criptomoneda ha pasado de ser una oscura tendencia de Internet a una unidad monetaria convencional. El valor creciente de las criptomonedas combinado con el respaldo de figuras públicas ha atraído a usuarios de todo el mundo. Sin embargo, esto también ha llevado a los atacantes a realizar estafas, desarrollar malware e infringir los intercambios de criptomonedas para defraudar a los usuarios y legitimar las empresas de criptomonedas.
Bumblebee Downloader
A partir de marzo de 2022, Proofpoint observó campañas que ofrecían un nuevo descargador llamado Bumblebee. Al menos tres grupos de actividad, incluidos los actores de amenazas conocidos, distribuyen actualmente Bumblebee. Las campañas identificadas por Proofpoint se superponen con la actividad detallada en el blog del Grupo de análisis de amenazas de Google que conduce al ransomware Conti y Diavol.
La variante del ransomware AvosLocker abusa del archivo del controlador para deshabilitar el antivirus
TrendMicro encontró muestras del ransomware AvosLocker que utiliza un archivo de controlador legítimo para deshabilitar las soluciones antivirus y la evasión de detección. Si bien las infecciones anteriores de AvosLocker emplean rutinas similares, esta es la primera muestra que observamos en los EE. UU. con la capacidad de deshabilitar una solución de defensa mediante un archivo legítimo del controlador Avast Anti-Rootkit (asWarPot.sys). Además, el ransomware también es capaz de escanear múltiples puntos finales en busca de la vulnerabilidad Log4j Log4shell utilizando el script Nmap NSE.
NetDooka Framework
Nuevo framework de ataque con loader, droper y RAT instalado a traves de Private Loader
Crypto Malware ataca Android e IOs
ESET Research ha descubierto un esquema sofisticado que distribuye malware haciéndose pasar por billeteras de criptomonedas populares en las redes sociales y en el servicio de mensajería Telegram. la primera vez que hemos visto tal esquema.
JSSLoader Trojan entregado a traves de archivos XLL
Una nueva versión ofuscada del troyano de acceso remoto JSSLoader ha sido entregada a las máquinas infectadas a través de archivos XLL, reveló Morphisec Labs.
Uso de cuentas comprometidas de militares Ukranianos para phishing
Los investigadores de Proofpoint han identificado una campaña de phishing que se origina en una dirección de correo electrónico (ukr[.]net) que parece pertenecer a un miembro del servicio armado ucraniano comprometido como parte de TA445.
PwnKit: escalada de privilegios local en PolKit afecta a distribuciones Linux
La vulnerabilidad se encuentra en el componente pkexec de PolKit, que está en la configuración por defecto de la mayoría de distribuciones Linux. Todas las versiones de PolKit desde la primera introducción de pkexec son vulnerables; es decir, desde la versión 0.113 del año 2009. Todas las distribuciones Major de Linux, inluyendo Ubuntu, Debian, Fedora y CentOS, se ven afectadas, ya que PolKit (antes PolicyKit) es un sistema para la gestión de permisos ampliamente usado en Linux.
Múltiples vulnerabilidades en Samba
Varios investigadores han reportado 3 vulnerabilidades en Samba: 1 de severidad crítica, 1 alta y 1 media. Un atacante podría filtrar información, ejecutar código y suplantar servicios arbitrarios, en caso de explotarlas.
Múltiples vulnerabilidades en productos Cisco
Se han publicado múltiples vulnerabilidades en productos de Cisco que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios, ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio.
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
SAP, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 notas de seguridad, 1 de ellas fuera de ciclo y 5 actualizaciones de notas anteriores, siendo 9 de severidad crítica, 3 de severidad alta, 6 de severidad media y 1 de severidad baja.
Operacion Falcon II: Unit 42 ayuda a INTERPOL a detener a los atacantes SilverTerrier BEC
El arresto de 11 actores de amenazas nigerianos en una operación conjunta dirigida por el FBI, la Fuerza de Policía de Nigeria y la Organización Internacional para la Prohibición del Delito Cibernético (INTERPOL) es el último de una serie en curso de investigaciones de delitos cibernéticos.
Log4j Exploit : servidores vulnerables VMWare Horizon en riesgo
Los servidores VMWare Horizon vulnerables corren el riesgo de ser infectados con ransomware debido a una falla de seguridad conocida como Log4j. Las versiones 7.x y 8.x del servidor VMware Horizon son susceptibles a dos de las vulnerabilidades de Log4j (CVE-2021-44228 y CVE-2021-45046). Los expertos en seguridad afirmaron que un grupo de ataque ha estado explotando estas fallas para instalar webshells en servidores comprometidos.
Vulnerabilidad de Seguridad Ejecución remota de código en Microsoft Exchange
Descripción: Una vulnerabilidad de ejecución remota de código (RCE) afecta Microsoft Exchange Server 2013, 2016 y 2019. Impacto: Estas vulnerabilidades afectan a Microsoft Exchange Server en las instalaciones locales (on-premise), incluidos los servidores utilizados por los clientes en el modo híbrido de Exchange. Los clientes de Exchange Online ya están protegidos y no necesitan realizar ninguna acción. Solución: Aplicar la actualización de seguridad
Cyber Suite Irani de malware
El Ciber-comando de Estados Unidos (CYBERCOM) ha identificado múltiples herramientas que los actores de inteligencia Iraní usan en redes alrededor del mundo según un reporte del Departamento de Defensa, la suite de malware Iraní esta compuesta de herramientas de inteligencia OSINT.
Dominios maliciosos durmientes
La firma Palo Alto ha descubierto una serie de dominios maliciosos que han permanecido durmientes en espera de posibilidades de ataque, a traves de patrones de trafico de DNS es posible detectarlos.
Lista de aplicaciones para revisar presencia de vulnerabilidad Log4Shell
El Centro Nacional de Ciberseguridad de Holanda (paises bajos), publico esta lista extensa de aplicaciones con detalles acerca de la presencia de la vulnerabilidad Log4Shell y pasos específicos por aplicacion para mitigarla
Log4Shell
Chen Zhaojun, investigador de Alibaba Cloud Security Team, ha descubierto una vulnerabilidad 0day crítica (nuevo descubrimiento), que se ha denominado Log4Shell, que podría ser explotada por un atacante remoto no autenticado para ejecutar código arbitrario (Remote Code Execution). Lo anterior significa que con solo una petición (GET y un string especialmente construido) a un servidor vulnerable, se podría insertar una dirección para que el servidor vulnerable posteriormente ejecutara algún malware. La vulnerabilidad afecta a Apache Log4j, una biblioteca open source desarrollada por Apache Software Foundation que facilita a aplicaciones del ecosistema Java mantener un registro de actividades realizadas en tiempo de ejecución, por la que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados. Log4j is usada en una gran variedad de servicios al consumidor, sitios web, OT y aplicaciones para generar logs e información de desempeño de sistemas. Un atacante podria explotar esta vulnerabilidad para tomar control del sistema.
grupo TA575 envia phishing con temas navideños
El grupo de atacantes TA575 ha aprovechado la epoca navideña para intensificar sus ataques de phishing y malware utilizando Macros de documentos de office.
Alerta de Phishing (Zero day)
Se ha registrado caso de phishing con origen
Bazar Ransomware
Recuento de las incidencias del ransomware Bazar en el año pasado
Falla en Cisco FWs
Una nueva vulnerabilidad CVE-2021-34704 en los Firewalls Cisco puede afectar el funcionamiento y la confiabilidad de los FWs.
Ransomware Yanluowang
Una nueva familia de ransomware como servicio RaaS se expande por USA segun investigaciones de Symantec
Webscanners 2018 al dia de hoy
Lista de webscanners de AlienVault desde 2018 hasta Diciembre 2021