Blog

El error de Microsoft Edge podría haber permitido a los atacantes instalar silenciosamente extensiones maliciosas

En el navegador web Microsoft Edge, una vulnerabilidad ahora corregida podría haber sido aprovechada para instalar extensiones arbitrarias en los sistemas de los usuarios y realizar actividades maliciosas. Según el informe de Guardio Labs, el investigador de seguridad Oleg Zaytsev explicó que esta falla permitía a un atacante utilizar una API privada originalmente destinada para propósitos de marketing, para instalar extensiones adicionales en los navegadores de los usuarios sin su conocimiento.

Alerta: GhostSec y Stormous lanzan ataques conjuntos de ransomware en más de 15 países

En el oscuro mundo cibernético, GhostSec, un astuto grupo de cibercriminales, ha sido vinculado a una variante Golang de ransomware conocida como GhostLocker. En una alianza poco santa, GhostSec y Stormous están llevando a cabo ataques de doble extorsión en diversos sectores y países, según el informe del investigador de Cisco Talos, Chetan Raghuprasad.

Phobos Ransomware se dirige agresivamente a la infraestructura crítica de EE. UU.

En un reciente comunicado, las agencias de inteligencia y ciberseguridad de Estados Unidos han emitido una advertencia conjunta sobre los ataques de ransomware Phobos, específicamente dirigidos a entidades gubernamentales y de infraestructura crítica. En este aviso, se detallan las tácticas y técnicas empleadas por los actores de amenazas para desplegar el malware de cifrado de archivos.

Un tribunal de EE. UU. ordena al grupo NSO entregar el código de software espía Pegasus a WhatsApp

Un juez estadounidense ha ordenado a NSO Group que entregue su código fuente de Pegasus y otros productos a Meta como parte del litigio en curso entre el gigante de las redes sociales y el proveedor de software espía israelí. La decisión representa una importante victoria legal para Meta, que inició la demanda en octubre de 2019, alegando que NSO Group utilizó su infraestructura para distribuir el software espía a unos 1.400 dispositivos móviles entre abril y mayo. Entre los afectados se encontraban dos docenas de activistas y periodistas indios.

Las agencias de ciberseguridad advierten a los usuarios de Ubiquiti EdgeRouter sobre la amenaza MooBot de APT28

En un comunicado conjunto reciente, las agencias de inteligencia y ciberseguridad de Estados Unidos y otras naciones han urgido a los usuarios de Ubiquiti EdgeRouter a fortalecer sus medidas de protección. Este llamado se produce semanas después de la exitosa desarticulación de una botnet en una operación denominada Dying Ember, en la cual las fuerzas del orden lograron neutralizar enrutadores infectados.

Troyanos bancarios atacan América Latina y Europa a través de Google Cloud Run

Los expertos en ciberseguridad han emitido una advertencia sobre el aumento de campañas de phishing por correo electrónico que aprovechan el servicio Google Cloud Run como herramienta para distribuir varios troyanos bancarios, incluyendo Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali), dirigidos a objetivos en América Latina (LATAM) y Europa.

Microsoft mejora acceso gratis para registros en agencias federales de EE. UU.

Microsoft ha ampliado las capacidades de registro gratuito a todas las agencias federales de EE. UU. utilizando Microsoft Purview Audit, independientemente del nivel de licencia, más de seis meses después de que saliera a la luz una campaña de ciberespionaje vinculada a China dirigida a dos docenas de organizaciones

Alerta de CISA: Akira Ransomware aprovecha vulnerabilidad en dispositivos Cisco ASA/FTD

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido en su lista de vulnerabilidades conocidas explotadas (KEV) una falla de seguridad ya solucionada que afecta al software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD). Esta inclusión sigue informes que sugieren que la falla está siendo probablemente aprovechada en ataques perpetrados por el ransomware Akira.

La vulnerabilidad crítica del cargador de arranque en Shim afecta a casi todas las distribuciones de Linux

Los desarrolladores de Shim han lanzado la versión 15.8 para abordar diversas vulnerabilidades de seguridad, entre las cuales destaca una crítica identificada como CVE-2023-40547, con una puntuación CVSS de 9,8. Esta vulnerabilidad podría ser aprovechada para realizar una omisión en el arranque seguro, creando así una posible vía para la ejecución remota de código en circunstancias específicas.

Alerta: Más de 178 000 firewalls de SonicWall son potencialmente vulnerables a ataques: actúe ahora

Más de 178,000 firewalls de SonicWall, expuestos a través de Internet, presentan vulnerabilidades que podrían ser explotadas para causar una denegación de servicio (DoS) y ejecución remota de código (RCE). Jon Williams, ingeniero de seguridad senior de Bishop Fox, señaló que los dos problemas son esencialmente iguales, pero son explotables en diferentes rutas HTTP URI debido a la reutilización de un patrón de código vulnerable.

Hackers turcos explotan servidores MS SQL mal protegidos en todo el mundo

Servidores de Microsoft SQL (MS SQL) con medidas de seguridad insuficientes están siendo objeto de ataques en áreas que abarcan desde Estados Unidos hasta la Unión Europea y América Latina (LATAM). Este asalto forma parte de una campaña en curso, motivada financieramente, que busca obtener acceso inicial.

Los clientes de Orange en España se están quedaron sin conexión: un hackeo tiene la culpa

El proveedor de servicios móviles Orange España experimentó una interrupción en su servicio de Internet que se prolongó durante varias horas el 3 de enero. Este incidente fue resultado de la utilización por parte de un actor de amenazas de credenciales de administrador que fueron capturadas mediante un malware ladrón. Estas credenciales comprometidas permitieron al atacante secuestrar el tráfico del protocolo de puerta de enlace fronterizo (BGP), afectando así la conectividad de la red móvil.

Windows en la Mira: La Resurgencia de Bandook RAT

Una variante reciente del troyano de acceso remoto, Bandook, ha sido identificada propagándose a través de tácticas de phishing. Su enfoque principal es la infiltración de sistemas operativos Windows, evidenciando así la constante mutación y desarrollo continuo de este malware.

Nuevo cargador de malware Rugmi surge con cientos de detecciones diarias

Los cibercriminales han adoptado un recién llegado cargador de malware para desplegar una extensa variedad de ladrones de información. Entre ellos se encuentran Lumma Stealer (también reconocido como LummaC2), Vidar, RecordBreaker (también identificado como Raccoon Stealer V2) y Rescoms.

Los ataques de phishing de Cloud Atlas se dirigen a empresas agrícolas y de investigación rusas

En la trama cibernética mundial, el actor de amenazas conocido como Cloud Atlas ha surgido como una figura vinculada a una serie de ataques de phishing selectivos dirigidos estratégicamente a empresas rusas. Este revelador hallazgo proviene de un informe de F.A.C.C.T., una entidad independiente especializada en ciberseguridad que se formó tras la retirada formal del Grupo IB de Rusia a principios de este año.

Hackers que abusan de GitHub para evadir la detección y controlar hosts comprometidos

Los perpetradores de amenazas están intensificando su uso de GitHub con tácticas innovadoras, como la explotación de Gists secretos y la emisión de comandos maliciosos a través de mensajes de confirmación de git. Karlo Zanki, un investigador de ReversingLabs, reveló en un informe compartido con The Hacker News que los actores de malware están optando cada vez más por GitHub como plataforma para alojar su código malicioso.

Creador de malware TrickBot, Vladimir Dunaev fué sentenciado

El Departamento de Justicia de Estados Unidos (DoJ) ha anunciado que un ciudadano ruso ha sido condenado por su participación en el desarrollo e implementación del malware TrickBot. Este individuo ha sido declarado culpable por sus acciones relacionadas con este software malicioso, marcando así un hito en la lucha contra las amenazas cibernéticas.

Fallo de diseño en Google Workspace podría abrir la puerta a accesos no autorizados

Los expertos en ciberseguridad han expuesto un “serio fallo de diseño” en la función de delegación de dominio (DWD) de Google Workspace, que podría ser aprovechado por actores de amenazas para facilitar la escalada de privilegios y obtener acceso no autorizado a las API de Workspace sin necesidad de privilegios de superadministrador.

Implementación de nueva variante de Phobos Ransomware por 8Base Group

Los responsables del ransomware 8Base están empleando una variante del conocido Phobos para sus ataques con motivaciones financieras, según los informes de Cisco Talos. Esta actividad ha experimentado un aumento, y los ciberdelincuentes detrás de 8Base utilizan el troyano de puerta trasera SmokeLoader para distribuir las variantes de Phobos.

Hackers chinos espían 24 organizaciones en Camboya

Investigadores de ciberseguridad han identificado una actividad cibernética maliciosa vinculada a dos destacados grupos de piratas informáticos respaldados por el estado chino, dirigidos a 24 entidades gubernamentales en Camboya.

WinRAR: la vulnerabilidad que pone en peligro la seguridad de las entidades gubernamentales de la India y SideCopy se aprovecha al máximo

Un grupo de ciberdelincuentes relacionado con Pakistán, llamado SideCopy, está utilizando una vulnerabilidad reciente en el software WinRAR para llevar a cabo ataques dirigidos contra agencias gubernamentales en la India. En estos ataques, están entregando varios tipos de software malicioso, como troyanos de acceso remoto como AllaKore RAT, Ares RAT y DRat.

“HelloKitty Ransomware Aprovecha Vulnerabilidad en Apache ActiveMQ”

Los investigadores de ciberseguridad están emitiendo una advertencia sobre una vulnerabilidad crítica en el servicio de intermediario de mensajes de código abierto Apache ActiveMQ que ha sido recientemente revelada. Esta vulnerabilidad podría ser explotada para la ejecución remota de código y ha sido utilizada en intentos de implementar archivos binarios de ransomware en sistemas objetivo.

El Arte del Sigilo: Turla Refina Kazuar con Técnicas de Antianálisis

Se ha notado que el grupo de ciberdelincuentes con conexiones a Rusia, identificado como Turla, está empleando una versión mejorada de una puerta trasera de segunda etapa ampliamente conocida llamada Kazuar.Los recientes descubrimientos han sido identificados por la Unidad 42 de Palo Alto Networks, la cual está siguiendo las actividades del actor malicioso bajo el seudónimo de constelación Pensive Ursa.

Exposición de datos crítica en ServiceNow.

A principios de esta semana, ServiceNow advirtió sobre la posibilidad de “acceso no intencionado” a datos confidenciales debido a configuraciones incorrectas en su plataforma. Esto planteó una preocupación seria para las empresas que dependen de ServiceNow y podría haber resultado en una filtración importante de datos corporativos.

Quasar RAT utiliza DLL para ocultarse

El troyano de acceso remoto de código abierto Quasar RAT utiliza una técnica de carga lateral de DLL en sistemas Windows comprometidos para pasar desapercibido. Los investigadores de Uptycs destacan que esta táctica se basa en la confianza que los archivos DLL inspiran en el entorno de Windows.

Vulnerabilidad Zero-Day afecta a Cisco IOS XE

Cisco advirtió sobre una falla de seguridad crítica y sin parches que afecta al software IOS XE. Esta vulnerabilidad afecta al software IOS XE y está siendo activamente explotada en entornos reales.

Crítica de vulnerabilidad en cURL SOCKS5.

La falla representa una amenaza directa al proceso de protocolo de enlace del proxy SOCKS5 en cURL y puede explotarse de forma remota en algunas configuraciones no estándar.

Ciberdelincuentes usan EvilProxy para atacar ejecutivos de EE. UU.

Ejecutivos de alto rango en empresas con sede en los Estados Unidos son el objetivo de una nueva campaña de phishing que utiliza la popular herramienta de phishing conocida como EvilProxy para llevar a cabo la recolección de credenciales y ataques de apropiación de cuentas.

“Zanubis: El Crecimiento Explosivo del Nuevo Troyano Bancario en Android”

En un tweet reciente, se ha identificado una muestra de software malicioso dirigido a dispositivos Android, especialmente orientado a los bancos en Perú. Este troyano bancario hace uso del servicio de accesibilidad y emplea pantallas superpuestas con el fin de obtener de manera engañosa las credenciales bancarias de los usuarios.

“¡Atención! Actualización Urgente de Chrome: Google Lanza un Parche Crucial para una Vulnerabilidad de Día Cero en Activo”

El miércoles pasado, Google tomó medidas para abordar una nueva vulnerabilidad de día cero que estaba siendo activamente explotada en su navegador Chrome. Esta vulnerabilidad se identifica como CVE-2023-5217 y se considera de alta gravedad. Se trata de un desbordamiento de búfer que afecta al formato de compresión VP8 en la biblioteca de códecs de vídeo de software libre llamada libvpx, la cual es desarrollada por Google y la Alliance for Open Media (AOMedia).

¡Alerta Sony en Crisis! Miles de Datos en Peligro

“¡Sony en Estado de Emergencia! El Grupo de Ciberdelincuentes “Ransomed.vc” , Anuncia haber comprometido el Total de los Sistemas de la Compañía y tiene la Intención de Vender los Datos Robados.

Ataque a Ex MP Egipcio Utilizando Zero-Days de Apple

Las tres vulnerabilidades de día cero que Apple abordó el 21 de septiembre de 2023 se utilizaron como parte de una cadena de explotación en iPhones, en un intento de entregar el spyware denominado Predator al ex miembro del parlamento egipcio Ahmed Eltantawy, entre mayo y septiembre de 2023.

¡Alerta Urgente! “Exploit Mortal en GitHub” para WinRAR Convierte a Usuarios en Víctimas de Venom RAT.

Un ciberdelincuente ha difundido un falso exploit de prueba de concepto (PoC) en GitHub, aprovechando una vulnerabilidad en WinRAR que ya había sido corregida. Su objetivo era infectar a quienes descargaran el PoC con el malware VenomRAT. El equipo de investigadores de la Unidad 42 de Palo Alto Networks fue quien descubrió este falso exploit. Informaron que el atacante subió el código malicioso a GitHub el 21 de agosto de 2023. Aunque el ataque ya no está activo, resalta una vez más los peligros de descargar PoC desde GitHub y ejecutarlos sin un escrutinio adicional para asegurarse de que sean seguros.

Cisco Reporta Vulnerabilidad en VPN Explotada por Ransomware

Cisco ha emitido una advertencia sobre una vulnerabilidad de día cero, identificada como CVE-2023-20269, que está siendo explotada activamente por bandas de ransomware. Esta vulnerabilidad afecta a sus productos Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD), específicamente en la función de VPN.

Ciberataques: PowerShell y el Robo de Hashes NTLMv2

Una nueva campaña de ataque cibernético ha surgido bajo el nombre “Steal-It,” y está causando preocupación en la comunidad de expertos en seguridad, especialmente en Australia, Polonia y Bélgica.

Cisco Neutraliza Amenaza Crítica: Vulnerabilidad en BroadWorks Parcheada

Cisco emite una advertencia sobre una vulnerabilidad relacionada con la validación de tokens SSO que podría permitir a los atacantes autenticarse con credenciales falsificadas. En caso de explotación exitosa, esto podría desencadenar acciones maliciosas, como fraude telefónico o ejecución de comandos con los privilegios de la cuenta falsificada.

“¡Alerta de Seguridad! Zero-Day de Android Parchado con Actualizaciones de Septiembre de 2023”

¡Atención a todos los usuarios de Android! Google acaba de anunciar una actualización de seguridad crítica para septiembre de 2023 que resuelve una vulnerabilidad de elevación de privilegios de ALTA GRAVEDAD que ya ha sido explotada en ataques maliciosos. Esta vulnerabilidad, conocida como CVE-2023-35674, se encuentra en el componente Framework de Android y representa una amenaza significativa para la seguridad de su dispositivo.

¡Alerta! MalDoc en PDF, Protégete de las Trampas Digitales

Los expertos en ciberseguridad de JPCERT/CC han advertido sobre una técnica astuta de elusión de antivirus. Consiste en insertar un archivo malicioso de Microsoft Word dentro de un archivo PDF. Esta técnica ha sido descubierta en medio de un aumento en las campañas de ingeniería social, lo que preocupa a los expertos.

Skype en Riesgo: Tu Dirección IP al Descubierto, Microsoft minimiza la urgencia

Esta falla de seguridad expone la dirección IP del dispositivo con el que un usuario está conectado a internet, y lo más inquietante es que esta información puede ser obtenida por un ciber atacante con tan solo enviar un enlace a través de la aplicación móvil. Microsoft dijo que la vulnerabilidad no necesita atención inmediata.

¡Atención! PyPI comprometido por hackers norcoreanos que distribuyen paquetes de Python infectados

¡Noticia alarmante! Tres nuevos paquetes maliciosos de Python han sido descubiertos en el repositorio de Package Index (PyPI) como parte de una sofisticada campaña de cadena de suministro de software malicioso llamada VMConnect. Se cree que esta campaña está respaldada por actores de amenazas patrocinados por el estado de Corea del Norte, lo que subraya la seriedad y la complejidad del ataque.

Interpol Desmantela Plataforma de Phishing y Detiene a Tres Ciberdelincuentes

Los ataques consistían en engañar a las víctimas para que proporcionaran información personal, contraseñas y datos financieros, utilizados posteriormente para extraer dinero. La operación fue posible gracias a la colaboración de la Dirección de Ciberdelincuencia de Interpol, fuerzas del orden en Indonesia, Japón y Estados Unidos, y socios privados como el Instituto de Defensa Cibernética, Group-IB, Palo Alto Networks y Trend Micro.

Ransomware Akira: Atacando VPN de Cisco y Abusando de RustDesk

El ransomware Akira ha demostrado un enfoque preocupante al apuntar a las soluciones VPN de Cisco como un vector de ataque para comprometer redes corporativas. Lanzada en marzo de 2023, esta amenaza ha utilizado cuentas VPN de Cisco comprometidas para acceder y cifrar datos, evitando puertas traseras o mecanismos de persistencia que puedan ser detectados.

“Deepfakes Eróticos: El Desafío Legal de la Privacidad en las Redes Sociales”

El mundo de las redes sociales está siendo sacudido por la creciente proliferación de contenido generado por inteligencia artificial (IA). La influencer Laura Escanes recientemente alzó la voz en Twitter para denunciar una problemática alarmante: imágenes de ella falsamente desnuda, producto de la manipulación de la IA. Este es solo un ejemplo de un fenómeno que está tomando impulso en línea: deepfakes eróticos.

Malware ‘SpinOK’ Se Propaga a más de 421 Millones de Dispositivos Android

El malware ‘SpinOK’ ha logrado propagarse a una asombrosa cifra de más de 421 millones de dispositivos Android. Esta amenaza cibernética, conocida como ‘SpinOK’, ha alcanzado una presencia masiva en dispositivos Android alrededor del mundo. Descubre cómo este malware se ha infiltrado en una escala sin precedentes y las medidas para proteger tus dispositivos.

CVE-2023-27997 es explotable y el 69% de los firewalls FortiGate son vulnerables

Bishop Fox desarrolló internamente un exploit para CVE-2023-27997, un desbordamiento de montón en FortiOS, el sistema operativo detrás de los firewalls FortiGate, que permite la ejecución remota de código. Hay 490,000 interfaces SSL VPN afectadas expuestas en Internet, y aproximadamente el 69% de ellas están actualmente sin parches. Deberías parchear el tuyo ahora.

Las organizaciones advirtieron sobre la función de puerta trasera en cientos de placas base Gigabyte

Una característica de puerta trasera que se encuentra en cientos de modelos de placas base Gigabyte puede representar un riesgo significativo para la cadena de suministro de las organizaciones.
Los investigadores de la compañía de seguridad de firmware y hardware Eclypsium descubrieron que cientos de modelos de placas base fabricados por el gigante taiwanés de componentes informáticos Gigabyte incluyen funcionalidad de puerta trasera que podría representar un riesgo significativo para las organizaciones.

¿Has recibido un correo de una persona conocida con un enlace a una noticia sobre inversiones en criptomonedas?

Se ha detectado una campaña de suplantación del periódico El País, concretamente a través de un artículo, en el que se publicitan inversiones de criptomonedas falsas utilizando supuestos testimonios de personajes famosos. A este artículo se llega a través de enlaces fraudulentos que se reciben en el buzón de correo electrónico. Estos correos pueden proceder de contactos conocidos.

¿Has recibido un correo desde tu misma dirección chantajeándote?

Se ha detectado una campaña de sextorsión que utiliza la técnica de mail spoofing. El ciberdelincuente suplanta la dirección de correo electrónico de un dominio privado del remitente para engañar a la víctima y hacerle creer que ha conseguido instalar un troyano en su dispositivo. A través de la extorsión incita a sus potenciales víctimas a abonar una cantidad de dinero a una cuenta monedero de bitcoin, a cambio de que este no publique información intima o privada de la víctima que supuestamente ha ido recabando a lo largo del tiempo.

Estafas de criptomonedas en aumento

Las criptomonedas siguen siendo fuente de malas noticias, ya que según estudios de la policía nacional, las estafas relacionadas con el Bitcoin y las demás monedas no han parado de aumentar.

Ocultan backdoor en el logo de Windows

Investigadores de seguridad han descubiero una nueva campaña maliciosa perteneciente al grupo de hackers conocido como «Whitchetty» que usa esteganografía para esconder una backdoor en el logo de Windows.

Ataques de ransomware emplean VoIP

Investigadores de seguridad del equipo de  Arctic Wolf Labs observaron un fuerte solapamiento con las Tácticas, Técnicas y Procedimientos (TTPs) asociados a los ataques de ransomware que tienen como objetivo la explotación del fallo de seguridad CVE-2022-29499 como vector inicial de acceso.

Grupo Yanluowang hackea Cisco

Cisco revela una brecha de seguridad, el grupo de ransomware Yanluowang violó su red corporativa a fines de mayo y […]