17.9 C
Madrid
lunes, octubre 27, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

WSUS explotado, LockBit 5.0 regresa, puerta trasera de Telegram, la brecha F5 se amplía

Por Conectamentado
5
WSUS explotado, LockBit 5.0 regresa, puerta trasera de Telegram, la brecha F5 se amplía

La seguridad, la confianza y la estabilidad, que alguna vez fueron los pilares de nuestro mundo digital, son ahora las herramientas que los atacantes utilizan contra nosotros. Desde cuentas robadas hasta ofertas de trabajo falsas, los ciberdelincuentes siguen encontrando nuevas formas de explotar tanto las fallas del sistema como el comportamiento humano.

Cada nueva infracción demuestra una dura verdad: en ciberseguridad, sentirse seguro puede ser mucho más peligroso que estar alerta.

Así es como esa falsa sensación de seguridad se rompió nuevamente esta semana.

⚡ Amenaza de la semana

La descompostura crítica de Microsoft WSUS recientemente parcheada es atacada – Microsoft lanzó actualizaciones de seguridad fuera de pandilla para parchear una vulnerabilidad de peligro crítica del Servicio de puesta al día de Windows Server (WSUS) que desde entonces ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad en cuestión es CVE-2025-59287 (puntuación CVSS: 9,8), una descompostura de ejecución remota de código en WSUS que fue solucionada originalmente por el hércules tecnológico como parte de su puesta al día del martes de parches publicada la semana pasada. Según Eye Security y Huntress, la descompostura de seguridad se está utilizando como pertrechos para eliminar un ejecutable .NET y una carga útil de PowerShell codificada en Base64 para ejecutar comandos arbitrarios en hosts infectados.

🔔 Noticiario destacadas

  • YouTube Ghost Network ofrece malware usurero — Se ha observado una red maliciosa de cuentas de YouTube que publican y promocionan vídeos que conducen a descargas de malware. Activa desde 2021, la red ha publicado más de 3.000 vídeos maliciosos hasta la momento, y el grosor de dichos vídeos se ha triplicado desde principios de año. La campaña aprovecha las cuentas pirateadas y reemplaza su contenido con videos «maliciosos» que se centran en software pirateado y trucos de juegos Roblox para infectar a los usuarios desprevenidos que los buscan con malware usurero. Algunos de los videos han acumulado cientos de miles de visitas.
  • La campaña del trabajo de ensueño de Corea del Meta se dirige al sector de defensa — Los actores de amenazas con vínculos con Corea del Meta han sido atribuidos a una nueva ola de ataques dirigidos a empresas europeas activas en la industria de defensa como parte de una campaña de larga duración conocida como Operación Dream Job. En la actividad observada, el montón Lazarus envía correos electrónicos cargados de malware que supuestamente provienen de reclutadores de las principales empresas, y en última instancia engañan a los destinatarios para que infecten sus propias máquinas con malware como ScoringMathTea. ESET señaló que los ataques apuntaron a empresas que suministran equipos militares, algunas de las cuales están actualmente desplegadas en Ucrania. Una de las empresas objetivo participa en la producción de al menos dos vehículos aéreos no tripulados que se utilizan actualmente en Ucrania.
  • MuddyWater apunta a más de 100 organizaciones en una campaña de espionaje completo — El montón de estado-nación iraní conocido como MuddyWater ha sido atribuido a una nueva campaña que aprovechó una cuenta de correo electrónico comprometida para distribuir una puerta trasera convocatoria Phoenix a varias organizaciones en la región de Medio Oriente y África del Meta (MENA), incluidas más de 100 entidades gubernamentales. El objetivo final de la campaña es infiltrarse en objetivos de detención valencia y simplificar la sumario de inteligencia utilizando una puerta trasera convocatoria Phoenix que se distribuye a través de correos electrónicos de phishing. Se considera que MuddyWater, además convocatoria Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros y Yellow Nix, está afiliada al Tarea de Inteligencia y Seguridad de Irán (MOIS).
  • Meta bichero nuevas herramientas para proteger a los usuarios de WhatsApp y Messenger de estafas – Meta dijo que está lanzando nuevas herramientas para proteger a los usuarios de Messenger y WhatsApp de posibles estafas. Esto incluye la presentación de nuevas advertencias en WhatsApp cuando los usuarios intentan compartir su pantalla con un contacto desconocido durante una videollamada. En Messenger, los usuarios pueden optar por habilitar una configuración convocatoria «Detección de estafas» navegando a Configuración de privacidad y seguridad. Una vez activado, los usuarios reciben una alerta cuando reciben un mensaje potencialmente sospechoso de una conexión desconocida que puede contener signos de estafa. El hércules de las redes sociales además dijo que detectó e interrumpió cerca de 8 millones de cuentas en Facebook e Instagram desde principios de año que están asociadas con centros de estafa criminal dirigidos a personas, incluidos los ancianos, en todo el mundo a través de correo, aplicaciones de citas, redes sociales, criptomonedas y otras aplicaciones. Según Graphika, los esquemas ilícitos para vencer fortuna están dirigidos a adultos mayores y víctimas de estafas anteriores. «Los estafadores utilizan las principales plataformas de redes sociales para atraer a sus objetivos y luego los redirigen a sitios web fraudulentos o mensajes privados para divulgar detalles financieros o datos personales sensibles», dijo. «Las operaciones siguen un patrón recurrente que hemos pasado en nuestro trabajo de estafas: crear confianza, sacar a las víctimas de la plataforma y extraer datos personales o financieros mediante el registro en programas de ayuda inexistentes o la presentación de formularios de queja basados ​​en la confianza organizacional».
  • Jingle Thief ataca a la cúmulo por fraude con tarjetas de regalo — Se ha observado que un montón cibercriminal llamado Jingle Thief apunta a entornos de cúmulo asociados con organizaciones en los sectores minorista y de servicios al consumidor para cometer fraude con tarjetas de regalo. «Los atacantes de Jingle Thief utilizan phishing y smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo», dijo la Mecanismo 42 de Palo Stop Networks. «Una vez que obtienen paso a una estructura, buscan el tipo y nivel de paso necesario para emitir tarjetas de regalo no autorizadas». El objetivo final de estos esfuerzos es rendir las tarjetas de regalo emitidas para obtener ganancias monetarias probablemente revendiéndolas en los mercados grises.

‎️‍🔥 CVE de tendencia

Los piratas informáticos se mueven rápido. A menudo explotan nuevas vulnerabilidades en cuestión de horas, convirtiendo un único parche perdido en una brecha importante. Un CVE sin parches puede ser todo lo que se necesita para ganar un compromiso total. A continuación se muestran las vulnerabilidades más críticas de esta semana que están atrayendo la atención en toda la industria. Revíselos, priorice sus correcciones y cerradura la brecha antaño de que los atacantes se aprovechen.

La directorio de esta semana incluye: CVE-2025-54957 (Dolby Unified Decoder), CVE-2025-6950, CVE-2025-6893 (Moxa), CVE-2025-36727, CVE-2025-36728 (SimpleHelp), CVE-2025-8078, CVE-2025-9133 (Zyxel), CVE-2025-61932 (Lanscope Endpoint Manager), CVE-2025-61928 (Mejor autenticación), CVE-2025-57738 (Apache Syncope), CVE-2025-40778, CVE-2025-40780, CVE-2025-8677 (BIND 9), CVE-2025-11411 (Sin consolidar), CVE-2025-61865 (Aplicación IO DATA NarSuS), CVE-2025-53072, CVE-2025-62481 (Oracle E-Business Suite), CVE-2025-11702, CVE-2025-10497, CVE-2025-11447 (GitLab), CVE-2025-22167 (Atlassian Jira), CVE-2025-54918 (Microsoft) y CVE-2025-52882 (Claude Code para Visual Studio Code).

📰 En torno a del mundo cibernético

  • iOS 26 de Apple elimina la evidencia de software agente — La última puesta al día del sistema activo móvil de Apple, iOS 26, realizó un cambio sobresaliente en un archivo de registro llamado «shutdown.log» que almacena evidencia de infecciones de software agente pasadas. Según la firma de investigaciones y forenses de iPhone iVerify, la compañía ahora está reescribiendo el archivo luego de cada reinicio del dispositivo, en emplazamiento de asociar nuevos datos al final. Si acertadamente no está claro si se proxenetismo de una intrepidez de diseño intencional o un error involuntario, iVerify dijo que «esta sobrescritura cibernética, aunque potencialmente está destinada a la higiene o el rendimiento del sistema, desinfecta eficazmente el artefacto forense que ha sido fundamental para identificar estas amenazas sofisticadas».
  • Google detalla operaciones de información dirigidas a Polonia — Google dijo que observó múltiples instancias de actores de operaciones de información (IO) pro-Rusia que promovían narrativas relacionadas con la supuesta incursión de drones rusos en el espacio etéreo polaco que ocurrió en septiembre de 2025. «La actividad de IO pro-Rusia identificada, que se movilizó en respuesta a este evento y los desarrollos políticos y de seguridad subsiguientes, parecía consistente con instancias previamente observadas de IO pro-Rusia dirigidas a Polonia y, más ampliamente, a la Alianza de la OTAN y Oeste», dijo el crónica. dijo la empresa. El mensaje implicaba desmentir la culpabilidad de Rusia, culpar a Oeste, socavar el apoyo interno al gobierno y socavar el apoyo interno polaco a la posición de política extranjero de su gobierno con destino a Ucrania. La actividad se ha atribuido a tres grupos rastreados: Portal Kombat (además conocido como Pravda Network), Doppelganger y una publicación en hilera convocatoria Niezależny Dziennik Polityczny. Se considera que el NDP es un amplificador importante en el interior del espacio informativo polaco de desinformación prorrusa en torno a la flagrante invasión rusa de Ucrania.
  • Infostealer basado en RedTiger utilizado para robar cuentas de Discord — Se ha observado que los actores de amenazas explotan una útil de equipo rojo de código hendido basada en Python convocatoria RedTiger en ataques dirigidos a jugadores y cuentas de Discord. «El usurero de información RedTiger apunta a varios tipos de información confidencial, con un enfoque principal en las cuentas de Discord», dijo Netskope. «El infostealer inyecta un JavaScript personalizado en el archivo index.js del cliente de Discord (discord_desktop_core) para monitorear e interceptar el tráfico de Discord. Por otra parte, recopila datos almacenados en el navegador (incluida información de suscripción), archivos relacionados con juegos, datos de billeteras de criptomonedas y capturas de pantalla del sistema host. Incluso puede espiar a través de la cámara web de la víctima y sobrecargar los dispositivos de almacenamiento mediante procesos de procreación masiva y creación archivos.» Por otra parte, la útil facilita lo que se pasión spam masivo de archivos y procesos, creando 100 archivos con extensiones de archivo aleatorias y lanzando 100 subprocesos para iniciar 400 procesos totales simultáneamente, sobrecargando efectivamente los posibles del sistema y obstaculizando los esfuerzos de estudio. La campaña es otro ejemplo de actores de amenazas que explotan cualquier plataforma legítima para obtener una legalidad falsa y eludir las protecciones. El avance se produce cuando los jugadores además han sido el objetivo de otro Python RAT multifunción que aprovecha la API de Telegram Bot como canal de comando y control (C2), lo que permite a los atacantes filtrar datos robados e interactuar de forma remota con las máquinas víctimas. El malware, que se hace acaecer por el software oficial de Minecraft «Nursultan Client», puede realizar capturas de pantalla, tomar fotografías desde la cámara web de un beneficiario, robar tokens de autenticación de Discord y rasgar URL arbitrarias en la máquina de la víctima.
  • UNC6229 utiliza ofertas de trabajo falsas para difundir RAT — Un montón de amenazas con motivación financiera que opera desde Vietnam ha laborioso ofertas de trabajo falsas en plataformas legítimas como LinkedIn (o sus propios sitios web de ofertas de trabajo falsas como staffvirtual(.)website) para atacar a individuos en los sectores de publicidad y marketing digitales con malware y kits de phishing con el objetivo final de comprometer cuentas corporativas de detención valencia y secuestrar cuentas de publicidad digital. Google, que reveló detalles de la campaña «persistente y dirigida», la rastrea como UNC6229. «La efectividad de esta campaña depende de una táctica clásica de ingeniería social en la que la víctima inicia el primer contacto. UNC6229 crea perfiles de empresas falsos, a menudo disfrazados de agencias de medios digitales, en plataformas de trabajo legítimas», señaló. «Publican ofertas de trabajo atractivas, a menudo remotas, que atraen a su montón demográfico objetivo». Una vez que la víctima envía la solicitud, el actor de amenazas se comunica con el solicitante por correo electrónico para engañarlo y obligarlo a rasgar archivos adjuntos ZIP maliciosos, lo que conduce a troyanos de paso remoto o hace clic en enlaces de phishing que capturan sus credenciales corporativas. Otro aspecto que destaca esta campaña es que es más probable que las víctimas confíen en los mensajes de correo electrónico, ya que son respuesta a una actividad autoiniciada, estableciendo una «pulvínulo de confianza».
  • XWorm 6.0 detallado — Los actores de amenazas detrás de XWorm han atrevido una nueva traducción (traducción 6.0) del malware con protección de procesos mejorada y capacidades antianálisis. «Esta última traducción incluye características adicionales para proseguir la persistencia y eludir el estudio», dijo Netskope. «El cargador incluye una nueva funcionalidad de omisión de la interfaz de escaneo antimalware (AMSI) mediante la modificación en memoria de CLR.DLL para evitar la detección». La condena de infección comienza con un script de Visual Basic probablemente distribuido mediante ingeniería social, que configura la persistencia y procede a colocar un cargador de PowerShell responsable de recuperar la carga útil XWorm 6.0 de un repositorio sabido de GitHub. Una de las nuevas características es su capacidad para evitar la terminación del proceso marcándose a sí mismo como un proceso crítico y finalizándose cuando detecta ejecución en Windows XP. «Este cambio puede ser un esfuerzo para evitar que los investigadores o analistas ejecuten la carga útil en un entorno de pruebas o en un entorno de estudio heredado», añadió la compañía.
  • Aumento de los ataques que abusan del expedición directo de Microsoft 365 — Cisco Talos dijo que ha observado una veterano actividad por parte de actores maliciosos que aprovechan el expedición directo en hilera de Microsoft 365 Exchange como parte de campañas de phishing y ataques de compromiso de correo electrónico empresarial (BEC). Describió el demasía de funciones como una explotación oportunista de una vía confiable, ya que elude las protecciones DKIM, SPF y DMARC. «El expedición directo preserva los flujos de trabajo empresariales al permitir que los mensajes de estos dispositivos eviten controles de autenticación y seguridad más rigurosos», dijo el investigador de seguridad Adam Katz. «Los adversarios emulan el tráfico de dispositivos o aplicaciones y envían mensajes no autenticados que parecen originarse en cuentas internas y sistemas confiables».
  • El ataque CoPhish roba tokens OAuth a través de agentes de Copilot Studio — Los investigadores de ciberseguridad encontraron una modo de utilizar la configuración de «Inicio de sesión» de un agente de Copilot Studio para redirigir a un beneficiario a cualquier URL, lo que resulta en un ataque de consentimiento OAuth, que utiliza aplicaciones maliciosas de Entra ID de terceros para tomar el control de las cuentas de las víctimas. Los agentes de Copilot Studio son chatbots alojados en copilotstudio.microsoft(.)com. «Esto aumenta la legalidad del ataque al redirigir al beneficiario desde copilotstudio.microsoft.com», dijo Datadog. La técnica de ataque recibió el nombre en código CoPhish. Básicamente, implica configurar el proceso de inicio de sesión de un agente con una aplicación OAuth maliciosa y modificar el agente para dirigir el token de beneficiario resultante emitido por Entra ID para conseguir a la aplicación a una URL bajo su control. Por lo tanto, cuando el atacante envía un enlace de agente zorro de CoPilot Studio a una víctima a través de correos electrónicos de phishing e intenta conseguir a él, se le solicita que inicie sesión en el servicio, momento en el que se le redirige a una aplicación OAuth maliciosa para obtener su consentimiento. «No es necesario que el agente zorro esté registrado en el entorno de destino: en otras palabras, un atacante puede crear un agente en su propio entorno para atacar a los usuarios», añadió Datadog. Junto a señalar que la actividad de redireccionamiento cuando el beneficiario víctima hace clic en el rama Iniciar sesión se puede configurar para redirigir a cualquier URL maliciosa, y la URL del flujo de trabajo de consentimiento de la aplicación es solo una posibilidad para el actor de la amenaza.
  • Extralimitación de AzureHound en la naturaleza — Múltiples actores de amenazas como Curious Serpens (Peach Sandstorm), Void Blizzard y Storm-0501 han laborioso una útil de sumario de datos de código hendido basada en Go convocatoria AzureHound en sus ataques. «Los actores de amenazas hacen un mal uso de esta útil para enumerar los posibles de Azure y mapear posibles rutas de ataque, lo que permite realizar más operaciones maliciosas», dijo la Mecanismo 42 de Palo Stop Networks. «La sumario de información interna de Azure ayuda a los actores de amenazas a descubrir configuraciones erróneas y oportunidades indirectas de subida de privilegios que podrían no ser obvias sin esta panorama completa del entorno de Azure objetivo. Los actores de amenazas además ejecutan la útil luego de obtener paso original al entorno de la víctima, descargar y ejecutar AzureHound en los activos a los que han obtenido paso».
  • La aplicación de Android Telegram modificada ofrece puerta trasera Baohuo — Se está utilizando una traducción modificada de la aplicación de correo Telegram para Android, convocatoria Telegram X, para ofrecer una nueva puerta trasera convocatoria Baohuo, sin dejar de ser utilitario. Una vez iniciado, se conecta a una pulvínulo de datos de Redis para comando y control (C2) y recibe instrucciones para ejecutarlas en el dispositivo comprometido. «Por otra parte de poder robar datos confidenciales, incluidos nombres de beneficiario y contraseñas, así como historiales de chat, este malware tiene varias características únicas», afirmó Doctor Web. «Por ejemplo, para evitar ser detectado y encubrir el hecho de que una cuenta ha sido comprometida, Baohuo puede ocultar conexiones de dispositivos de terceros en la directorio de sesiones activas de Telegram. Por otra parte, puede asociar y eliminar al beneficiario de los canales de Telegram y además unirse y dejar chats en nombre de la víctima, ocultando además estas acciones». La puerta trasera ha infectado más de 58.000 teléfonos inteligentes, tabletas, televisores e incluso automóviles con Android hasta la momento desde que comenzó a distribuirse a mediados de 2024 a través de anuncios en aplicaciones móviles que engañan a los usuarios para que instalen el APK zorro desde un sitio extranjero que imita un mercado de aplicaciones. La aplicación fraudulenta de Android además se ha detectado en catálogos legítimos de aplicaciones de terceros como APKPure, ApkSum y AndroidP. Algunos de los países con veterano número de contagios son Colombia, Brasil, Egipto, Argelia, Irak, Rusia, India, Bangladesh, Pakistán, Indonesia y Filipinas.
  • Windows deshabilita las vistas previas del Explorador de archivos por motivos de seguridad — Microsoft ha desactivado las vistas previas del Explorador de archivos para los archivos descargados de Internet (es aseverar, aquellos que están marcados con la Marca de la Web). El cambio se implementó por razones de seguridad durante las actualizaciones del martes de parches de este mes. «Este cambio mitiga una vulnerabilidad por la que podría producirse una fuga de hash NTLM si los usuarios obtienen una panorama previa de los archivos que contienen etiquetas HTML (como, etc.) que hacen remisión a rutas externas. Los atacantes podrían rendir esta función de panorama previa para capturar credenciales confidenciales», dijo Microsoft. Una vez instaladas las últimas actualizaciones, el panel de panorama previa del Explorador de archivos mostrará el ulterior mensaje: «El archivo que está intentando obtener una panorama previa podría dañar su computadora. Si confía en el archivo y en la fuente de donde lo recibió, ábralo para ver su contenido». Para eliminar el incomunicación, los usuarios deben hacer clic derecho en el archivo descargado, pretender Propiedades y luego Desbloquear. Se cree que el cambio además está diseñado para acometer CVE-2025-59214, un problema de suplantación de identidad del Explorador de archivos que podría explotarse para filtrar información confidencial a través de la red. CVE-2025-59214 es un bypass para CVE-2025-50154, que a su vez es un bypass para CVE-2025-24054, una vulnerabilidad de fuga de credenciales NTLM sin clic que estuvo bajo explotación activa a principios de este año.
  • Las campañas de phishing emplean nuevas tácticas de entretenimiento — Kaspersky ha capaz que los actores de amenazas emplean cada vez más diversas técnicas de entretenimiento en sus campañas de phishing y sitios web. «En el correo electrónico, estas técnicas incluyen documentos PDF que contienen códigos QR, que no se detectan tan fácilmente como los hipervínculos típico», afirmó la empresa rusa. «Otra medida es la protección con contraseña de los archivos adjuntos. En algunos casos, la contraseña llega en un correo electrónico separado, añadiendo otra capa de dificultad al estudio automatizado. Los atacantes están protegiendo sus páginas web con CAPTCHA, e incluso pueden usar más de una página de comprobación».
  • Se encontraron dominios fraudulentos del navegador Comet Perplexity — BforeAI dijo que ha observado más de 40 dominios fraudulentos que promocionan el navegador Comet impulsado por IA de Perplexity, y que los malos actores además publican aplicaciones de imitación en Apple App Store y Google Play Store. «El momento de los registros de dominio sigue de cerca el cronograma de divulgación de Comet, lo que indica que los ciberdelincuentes oportunistas monitorean las tendencias tecnológicas emergentes», dijo BforeAI. «El uso de registradores internacionales, servicios de protección de la privacidad y páginas de estacionamiento sugiere coordinación entre los actores de amenazas».
  • LockBit 5.0 reclama nuevas víctimas — LockBit, que recientemente resurgió con una nueva traducción (con nombre en código «ChuongDong») luego de acontecer sido interrumpido a principios de 2024, ya está extorsionando a nuevas víctimas, cobrando más de una docena de víctimas en Europa occidental, América y Asia, afectando tanto a los sistemas Windows como a los Linux. La porción de ellos han sido infectados por la cambio LockBit 5.0 recientemente rejonazo y el resto por LockBit Black. El avance es una «clara señal de que la infraestructura y la red de afiliados de LockBit están nuevamente activas», dijo Check Point. La última traducción presenta soporte multiplataforma, entretenimiento más válido, secreto más rápido y extensiones de archivos aleatorias de 16 caracteres para eludir la detección. «Para unirse, los afiliados deben depositar aproximadamente 500 dólares en Bitcoin para conseguir al panel de control y a los cifrados, un maniquí destinado a proseguir la exclusividad y examinar a los participantes», dijo la compañía. «Las notas de rescate actualizadas ahora se identifican como LockBit 5.0 e incluyen enlaces de negociación personalizados que otorgan a las víctimas un plazo de 30 días antaño de que se publiquen los datos robados».
  • Cambios en el consentimiento de sumario de datos para nuevas extensiones de Firefox — A partir del 3 de noviembre, Mozilla exigirá que todas las extensiones de Firefox declaren específicamente en el archivo manifest.json si recopilan y transmiten datos personales a terceros. Se demora que esta información se integre en las solicitudes de permiso de Firefox cuando los usuarios intenten instalar el complemento del navegador en la página addons.mozilla.org. «Esto se aplicará sólo a nuevas extensiones, y no a nuevas versiones de extensiones existentes», dijo Mozilla. «Las extensiones que no recopilan ni transmiten ningún referencia personal deben especificar esto configurando el permiso de sumario de datos no requerido en esta propiedad».
  • Los piratas informáticos atacan los sitios web de WordPress explotando complementos obsoletos – Una campaña de explotación masiva está dirigida a sitios de WordPress con complementos GutenKit y Hunk Companion vulnerables a fallas de seguridad conocidas como CVE-2024-9234, CVE-2024-9707 y CVE-2024-11972 para apoderarse de sitios con fines maliciosos. «Estas vulnerabilidades hacen posible que actores de amenazas no autenticados instalen y activen complementos arbitrarios, que pueden aprovecharse para ganar la ejecución remota de código», dijo Wordfence. Se estima que la actividad de explotación comenzó el 8 de octubre de 2025. Se han bloqueado más de 8.755.000 intentos de explotación dirigidos a estas vulnerabilidades. En algunos de los incidentes, el ataque conduce a la descarga de un archivo ZIP alojado en GitHub que puede iniciar sesión automáticamente como administrador y ejecutar scripts para cargar y descargar archivos arbitrarios. Incluso incluye una carga útil de PHP que incluye desfiguración masiva, establecimiento de archivos, capacidades de rastreo de redes e instalación de más malware a través de una terminal. En escenarios donde no se puede obtener una puerta trasera de establecimiento completa, se ha descubierto que los atacantes instalan una «wp-query-console» pusilánime para ganar la ejecución remota de código no autenticado. La divulgación se produce cuando la compañía de seguridad de WordPress detalló cómo los actores de amenazas crean malware que utiliza funciones variables y cookies para ofuscar.
  • Un ataque de phishing inusual evita los SEG mediante JavaScript — Un «nuevo y astuto ataque de phishing» está eludiendo las puertas de enlace seguras de correo electrónico (SEG) mediante el uso de un script de phishing con selección aleatoria de dominio y reemplazo dinámico de páginas impulsado por el servidor para robar credenciales. La amenaza se detectó por primera vez en febrero de 2025 y continúa. La campaña implica la distribución de correos electrónicos de phishing que contienen archivos adjuntos HTML que contienen una URL incrustada que conduce a una página de destino falsa, o mediante correos electrónicos con enlaces incrustados que falsifican plataformas de colaboración empresarial como DocuSign, Microsoft OneDrive, Google Docs y Adobe Sign. «En la táctica, el script elige un dominio .org accidental de una directorio predefinida codificada», dijo Cofense. «Los dominios .org en la directorio parecen generarse dinámicamente en masa sin usar palabras, probablemente en un intento de eludir las listas de incomunicación o las herramientas AI/ML diseñadas para sitiar dominios basados ​​en ciertas estructuras de palabras. Luego, el script genera un UUID (Identificador único universal) dinámico, que puede estilarse para rastrear a las víctimas y servir como identificador de campaña, lo que sugiere que este script puede ser parte de un paquete que puede reutilizarse en diferentes campañas, potencialmente con diferentes marcas falsificadas en páginas de phishing de credenciales». El script está configurado para dirigir una solicitud POST HTTP al servidor accidental, lo que hace que responda con un formulario de inicio de sesión generado dinámicamente según el contexto de la víctima.
  • Rusia planea una ley de divulgación de errores similar a la de China — Según RBC, Rusia está preparando un nuevo tesina de ley que requeriría que los investigadores de seguridad, las empresas de seguridad y otros hackers de sombrero blanco informen de todas las vulnerabilidades al Servicio Federal de Seguridad (FSB), la principal agencia de seguridad del país. Esto es similar a la carta aprobada por China en julio de 2021. Los investigadores de seguridad que no informen de las vulnerabilidades a la FAB se enfrentarán a cargos penales por «transferencia ilegal de vulnerabilidades». Incluso se está discutiendo la posibilidad de crear un registro de hackers de sombrero blanco, según el medio ruso. Junto a señalar que el uso de días cero por parte de los grupos de piratería de los estados-nación chinos ha aumentado desde que la ley entró en vigor. «Los grupos de actividad de amenazas chinos se han inclinado en gran medida con destino a la explotación de dispositivos públicos desde al menos 2021», dijo Recorded Future en un crónica de noviembre de 2023. «Más del 85% de las vulnerabilidades de día cero conocidas y explotadas por grupos patrocinados por el estado chino durante este período posterior se encontraban en dispositivos públicos como firewalls, productos VPN empresariales, hipervisores, balanceadores de carga y productos de seguridad de correo electrónico». En un estudio publicado en junio de 2025, el Atlantic Council dijo que «la Ley de Divulgación de Vulnerabilidad de 2021 de China obliga a comprometerse con el proceso ofensivo militar», y agregó que «China utiliza su ecosistema (Capturar la Bandera) y su ecosistema regulatorio para solicitar errores de modo informal a los piratas informáticos para uso de seguridad franquista, (y) sus principales empresas de tecnología son aliados estratégicos en la fabricación de exploits».
  • Decenas de naciones firman el Tratado de la ONU contra el cibercrimen – Hasta 72 países han pactado disputar contra el ciberdelito, incluso compartiendo datos y extraditando mutuamente a presuntos delincuentes, en virtud de un nuevo tratado de las Naciones Unidas, a pesar de las advertencias sobre la privacidad y la seguridad de las grandes empresas tecnológicas y los grupos de derechos humanos. La Convención de las Naciones Unidas contra la Ciberdelincuencia fue adoptada por la Asamblea Universal de las Naciones Unidas el 24 de diciembre de 2024. INTERPOL dijo que «la Convención proporciona una pulvínulo jurídica y operativa mejorada para una actividad completo coordinada contra la ciberdelincuencia». En una información en su sitio web, Human Rights Watch y otros signatarios dijeron que el tratado «obliga a los estados a establecer amplios poderes de vigilancia electrónica para investigar y cooperar en una amplia variedad de delitos, incluidos aquellos que no involucran sistemas de información y comunicación» y lo hace sin «salvaguardias adecuadas de derechos humanos». La Oficina de las Naciones Unidas contra la Droga y el Delito (UNODC) ha defendido la Convención, argumentando la exigencia de mejorar la cooperación para acometer los delitos transnacionales y proteger a los niños contra la captación inmaduro en hilera.
  • Nuevo cargador Caminho pasado en la naturaleza — Se ha observado una nueva operación de cargador como servicio (LaaS) de origen brasileño convocatoria Caminho que emplea esteganografía de bits menos significativos (LSB) para ocultar cargas avíos .NET en el interior de archivos de imágenes alojados en plataformas legítimas. «Activa desde al menos marzo de 2025, con una proceso operativa significativa en junio de 2025, la campaña ha entregado una variedad de malware y ladrones de información como Remcos RAT, XWorm y Katz Stealer a víctimas de múltiples industrias en América del Sur, África y Europa del Este», dijo Arctic Wolf. «El extenso código en idioma portugués en todas las muestras respalda nuestra atribución de ingreso confianza de esta operación a un origen brasileño». Las cadenas de ataques que distribuyen el cargador implican el uso de correos electrónicos de phishing con archivos JavaScript (JS) o Visual Basic Script archivados utilizando señuelos de ingeniería social con temas empresariales que, cuando se lanzan, activan una infección de varias etapas. Esto incluye la descarga de una carga útil de PowerShell ofuscada desde servicios estilo Pastebin, que luego descarga imágenes esteganográficas alojadas en Internet Archive (archive(.)org). El script de PowerShell además extrae el cargador de la imagen y lo inicia directamente en la memoria. En última instancia, el cargador recupera e inyecta el malware final en el espacio de direcciones calc.exe sin escribir artefactos en el disco. La persistencia se establece mediante tareas programadas que vuelven a ejecutar la condena de infección.
  • La infracción de F5 comenzó a finales de 2023 – La violación de seguridad recientemente revelada en F5 comenzó a fines de 2023, mucho antaño de lo que se pensaba, según un crónica de Bloomberg. El ataque salió a la luz en agosto de 2025, lo que indica que los piratas informáticos lograron acaecer desapercibidos durante casi dos abriles. «Los atacantes penetraron los sistemas informáticos de F5 explotando el software de la empresa que había quedado pusilánime y expuesto a Internet», dice el crónica, añadiendo que el propio personal de la empresa no siguió las directrices de ciberseguridad que proporciona a sus clientes. Se cree que actores patrocinados por el Estado chino están detrás del ataque, aunque un funcionario chino ha calificado las acusaciones de «infundadas».
  • Múltiples fallas en EfficientLab WorkExaminer Professional — Se han descubierto varias vulnerabilidades (CVE-2025-10639, CVE-2025-10640 y CVE-2025-10641) en el software de monitoreo de empleados WorkExaminer Professional de EfficientLab, incluidas algunas que pueden permitir que un atacante en la red tome el control del sistema y recopile capturas de pantalla o pulsaciones de teclas. «Un atacante además puede rendir las comprobaciones de autenticación del flanco del servidor que faltan para obtener paso burócrata no autenticado al servidor WorkExaminer Professional y, por lo tanto, a la configuración y los datos del servidor», dijo SEC Consult. «Por otra parte, todos los datos entre la consola, el cliente de monitorización y el servidor se transmiten sin compendiar. Por lo tanto, un atacante con paso al cable puede controlar todos los datos confidenciales transmitidos». Los problemas siguen sin solucionarse.
  • Estados Unidos acusa a excontratista estatal de entregar secretos a Rusia — El Sección de Neutralidad de Estados Unidos ha revelado cargos contra Peter Williams, ex ejecutor de Trenchant, la mecanismo cibernética del contratista de defensa L3Harris, por supuestamente robar secretos comerciales y venderlos a un comprador en Rusia por 1,3 millones de dólares. Los documentos judiciales alegan que Williams supuestamente robó siete secretos comerciales de dos empresas entre abril de 2022 y junio de 2025 o rodeando de esa momento, y un octavo secreto comercial adicional entre junio y el 6 de agosto de 2025. Los nombres de las empresas no fueron revelados ni se proporcionó ninguna información sobre la identidad del comprador. Los fiscales además buscan confiscar la propiedad de Williams en Washington, DC, así como múltiples relojes, bolsos y joyas de opulencia derivados de las ganancias rastreables hasta el delito. Los cargos se producen mientras Trenchant está investigando una filtración de sus herramientas de piratería, informó TechCrunch.
  • Cómo los actores de amenazas están abusando de Azure Blob Storage – Microsoft ha detallado las diversas formas en que los actores de amenazas están aprovechando Azure Blob Storage, su servicio de datos de objetos, en varias etapas del ciclo de ataque, correcto a su papel fundamental en el almacenamiento y la mandato de cantidades masivas de datos no estructurados. «Los actores de amenazas están buscando activamente oportunidades para comprometer entornos que alojan medios descargables o mantienen repositorios de datos a gran escalera, aprovechando la flexibilidad y escalera de Blob Storage para apuntar a un amplio espectro de organizaciones», dijo la compañía.
  • Vault Viper comparte vínculos con operaciones de estafa en el sudeste oriental — Un navegador web personalizado con el nombre Universe Browser está siendo distribuido por un proveedor de software de iGaming (además conocido como juegos de azar en hilera) de «marca blanca» que tiene vínculos con un montón de plataformas de fraude y juegos de azar cibernéticos operadas por sindicatos criminales con sede en Camboya, según un crónica de Infoblox. El navegador, habitable para Android, iOS y Windows, se anuncia como «inclinado a la privacidad» y ofrece la posibilidad de eludir la censura en países donde los juegos de azar en hilera están prohibidos. En verdad, el navegador «enruta todas las conexiones a través de servidores en China e instala de forma estafa varios programas que se ejecutan silenciosamente en segundo plano». Si acertadamente no hay evidencia de que el software haya sido utilizado con fines maliciosos, tiene todas las características típicamente asociadas con un troyano de paso remoto, incluido el registro de teclas, la linaje de la ubicación flagrante del beneficiario, el inicio de conexiones subrepticias y la modificación de las configuraciones de red del dispositivo. «Universe Browser ha sido modificado para eliminar muchas funcionalidades que permiten a los usuarios interactuar con las páginas que visitan o inspeccionar lo que está haciendo el navegador», añadió la empresa. «El paso a la configuración del rama derecho y las herramientas de avance, por ejemplo, se han eliminado, mientras que el navegador en sí se ejecuta con varios indicadores que desactivan las principales funciones de seguridad, incluido el sandboxing y el soporte de protocolos SSL inseguros». El actor de amenazas detrás de la operación es Baoying Group (寶盈集團) y BBIN, a los que se les ha poliedro el apodo de Vault Viper. Algunos aspectos del Universe Browser fueron documentados previamente por la UNODC. «Si acertadamente el estudio técnico está en curso, el examen preliminar revela que U Browser no sólo permite tomar capturas de pantalla sistemáticas e involuntarias en el dispositivo infectado, sino que además contiene otras funciones ocultas que permiten al software capturar pulsaciones de teclas y contenidos del portapapeles, características consistentes con malware que evoca troyanos de paso remoto y varios ladrones de información y criptomonedas», señaló la ONUDD. Baoying Group ha mantenido una gran pulvínulo operativa en Filipinas desde 2006, dijo Infoblox, pero oculta el significación total de sus actividades a través de una «intrincada red de empresas y estructuras espíritu registradas en docenas de países de Asia, Europa, América Latina y las Islas del Pacífico». La investigación ha llevado al descubrimiento de no menos de 1.000 servidores de nombres únicos que albergan miles de sitios web activos dedicados a juegos de azar ilegales en hilera, incluidos varios que se sabe que son operados por grupos criminales involucrados en fraude cibernético a gran escalera, lavado de fortuna y otros delitos.

🎥 Seminarios web sobre ciberseguridad

🔧 Herramientas de ciberseguridad

  • FlareProx Es una útil liviana que utiliza Cloudflare Workers para activar puntos finales de proxy HTTP en segundos. Le permite enrutar el tráfico a cualquier URL mientras enmascara su IP a través de la red completo de Cloudflare. Ideal para desarrolladores y equipos de seguridad que necesitan una rotación rápida de IP, pruebas de API o una redirección sencilla sin servidores. Admite todos los métodos HTTP e incluye un nivel sin cargo con 100.000 solicitudes por día.
  • cazador de rayos Rayhunter es una útil de código hendido de la EFF que detecta torres de telefonía móvil falsas (IMSI catchers o Stingrays) utilizadas para la vigilancia telefónica. Se ejecuta en un punto de paso móvil Orbic crematístico, monitorea el tráfico de la red celular y alerta a los usuarios cuando se encuentra actividad sospechosa, como degradaciones forzadas de 2G o solicitudes de identificación inusuales. Rayhunter, hacedero de instalar y usar, ayuda a periodistas, activistas e investigadores a detectar el espionaje celular en tiempo verdadero.
LEER  Coinbase inicialmente atacado en las acciones de GitHub Attack de la cadena de suministro; 218 Secretos CI/CD de repositorios expuestos

Descargo de responsabilidad: estas herramientas son solamente para uso educativo y de investigación. No se han sometido a pruebas de seguridad completas y podrían presentar riesgos si se usan incorrectamente. Revise el código antaño de probarlos, pruebe solo en entornos seguros y siga todas las reglas éticas, legales y organizativas.

🔒 Consejo de la semana

Validar las dependencias en el origen, no solo en el paquete, Los desarrolladores tienden a entregarse en manos en los administradores de paquetes más de lo que deberían, y los atacantes cuentan con ello. Todos los ecosistemas importantes, desde npm hasta PyPI, se han pasado afectados por ataques a la condena de suministro que utilizan paquetes falsos o cuentas de mantenimiento secuestradas para introducir malware oculto. La instalación desde un registro sabido no significa que obtendrás el mismo código que está en GitHub, solo significa que estás descargando lo que determinado cargó.

La verdadera seguridad comienza en la fuente. Utilice Sigstore Cosign para efectuar imágenes y artefactos firmados, y osv-scanner para efectuar las dependencias con los datos de vulnerabilidad de OSV.dev. Para npm, agregue lockfile-lint para restringir las descargas a registros confiables y habilitar firmas de auditoría. Fije siempre las versiones exactas e incluya la potencia de la suma de comprobación para cualquier cosa recuperada de forma remota.

Siempre que sea posible, aloje las dependencias verificadas en su propio espejo: herramientas como Verdaccio, Artifactory o Nexus evitan que las compilaciones se extraigan directamente de Internet. Integre estas comprobaciones en CI/CD para que las canalizaciones analicen automáticamente las dependencias, verifiquen las firmas y fallen si se rompe la confianza.

En pocas palabras: no confíe en lo que puede instalar; confíe en lo que puede efectuar. En la condena de suministro flagrante, el aventura verdadero no es su código, sino todo de lo que depende su código. Construya una condena de confianza clara y convertirá ese enlace débil en su defensa más válido.

LEER  Desde la herramienta de recolección de inteligencia del navegador hasta el navegador

Conclusión

Las historias cambian cada semana, pero el mensaje sigue siendo el mismo: la ciberseguridad no es una tarea que se realiza una sola vez, es un pericia. Mantenga sus sistemas actualizados, cuestione lo que le resulte demasiado deudo y recuerde: en el mundo digital flagrante, la confianza es poco que se demuestra, no se asume.

spot_img
Artículo anterior
Cómo un programador consiguió que Doom se ejecutara en un satélite espacial y qué pasó después
Artículo siguiente
Utilice esta herramienta de Linux para permanecer invisible en línea
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado