Nombre del autor:jcamhi

Google intervino para eliminar una extensión falsa disponible en la tienda web para el navegador Chrome de la tienda web, la cual se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas. La extensión “ChatGPT para Google”, una versión troyanizada de un complemento de navegador […] Google intervino para eliminar una extensión falsa disponible en la tienda web para el navegador Chrome de la tienda web, la cual se hizo pasar por el servicio ChatGPT de OpenAI para recolectar cookies de sesión de Facebook y secuestrar las cuentas. La extensión “ChatGPT para Google”, una versión troyanizada de un complemento de navegador de código abierto legítimo, atrajo más de 9.000 instalaciones desde el 14 de marzo de 2023, antes de su eliminación. Se subió originalmente a Chrome Web Store el 14 de febrero de 2023. Según la investigadora de Guardio Labs, Nati Tal, la extensión se propagó a través de resultados de búsqueda de Google patrocinados maliciosos que fueron diseñados para redirigir a los usuarios desprevenidos que buscaban “Chat GPT-4” a páginas de destino fraudulentas que apuntan al complemento falso. La instalación de la extensión agrega la funcionalidad prometida, es decir, mejora los motores de búsqueda con ChatGPT, pero también activa sigilosamente la capacidad de capturar cookies relacionadas con Facebook y filtrarlas a un servidor remoto de manera encriptada. Una vez en posesión de las cookies de la víctima, el autor de la amenaza toma el control de la cuenta de Facebook, cambia la contraseña, altera el nombre y la imagen del perfil e incluso la utiliza para difundir propaganda extremista. El desarrollo lo convierte en la segunda extensión falsa del navegador ChatGPT Chrome que se descubre en la naturaleza. La otra extensión, que también funcionaba como un ladrón de cuentas de Facebook, se distribuía a través de publicaciones patrocinadas en la plataforma de redes sociales. En todo caso, los hallazgos son otra prueba más de que los ciberdelincuentes son capaces de adaptar rápidamente sus campañas para sacar provecho de la popularidad de ChatGPT para distribuir malware y organizar ataques oportunistas. “Para los actores de amenazas, las posibilidades son infinitas: usar su perfil como un bot para comentarios, me gusta y otras actividades promocionales, o crear páginas y cuentas publicitarias usando su reputación e identidad mientras promocionan servicios que son legítimos y probablemente en su mayoría no”. @nivel4.com

Un troyano bancario denominado Mispadu se ha vinculado a múltiples campañas de spam dirigidas a países como Bolivia, Chile, México, Perú y Portugal con el objetivo de robar credenciales y entregar otras cargas útiles. La actividad, que comenzó en agosto de 2022, continúa actualmente, dijo Ocelot Team de la firma latinoamericana de ciberseguridad Metabase Q en un informe compartido con The Hacker News. Mispadu (también conocido como URSA) fue documentado por primera vez por ESET en noviembre de 2019, describiendo su capacidad para perpetrar robos monetarios y de credenciales y actuar como una puerta trasera al tomar capturas de pantalla y capturar pulsaciones de teclas. «Una de sus principales estrategias es comprometer sitios web legítimos, buscar versiones vulnerables de WordPress, convertirlos en su servidor de comando y control para propagar malware desde allí, filtrar países que no desean infectar, dejar caer diferentes tipos de malware basado en el país infectado», dijeron los investigadores Fernando García y Dan Regalado. También se dice que comparte similitudes con otros troyanos bancarios que apuntan a la región, como Grandoreiro , Javali y Lampion . Las cadenas de ataque que involucran el malware Delphi aprovechan los mensajes de correo electrónico que instan a los destinatarios a abrir facturas vencidas falsas, lo que desencadena un proceso de infección de varias etapas.  a abrir facturas vencidas falsas, lo que desencadena un proceso de infección de varias etapas. Si una víctima abre el archivo adjunto HTML enviado a través del correo electrónico no deseado, verifica que el archivo se abrió desde un dispositivo de escritorio y luego se redirige a un servidor remoto para obtener el malware de primera etapa. El archivo RAR o ZIP, cuando se inicia, está diseñado para hacer uso de certificados digitales falsos, uno que es el malware Mispadu y el otro, un instalador de AutoIT, para decodificar y ejecutar el troyano abusando de la utilidad de línea de comandos certutil legítima . Mispadu está equipado para recopilar la lista de soluciones antivirus instaladas en el host comprometido, desviar las credenciales de Google Chrome y Microsoft Outlook y facilitar la recuperación de malware adicional. Esto incluye un cuentagotas ofuscado de Visual Basic Script que sirve para descargar otra carga útil de un dominio codificado, una herramienta de acceso remoto basada en .NET que puede ejecutar comandos emitidos por un servidor controlado por actor y un cargador escrito en Rust que, en a su vez, ejecuta un cargador de PowerShell para ejecutar archivos directamente desde la memoria. Además, el malware utiliza pantallas superpuestas maliciosas para obtener credenciales asociadas con portales de banca en línea y otra información confidencial. Metabase Q señaló que el enfoque de certutil ha permitido a Mispadu eludir la detección de una amplia gama de software de seguridad y recolectar más de 90 000 credenciales de cuentas bancarias de más de 17 500 sitios web únicos. @thehackernews

El martes de parches de marzo Microsoft ha publicado correcciones para 76 vulnerabilidades, incluidas 9 correcciones críticas y dos explotadas activamente en la naturaleza (CVE-2023-23397, CVE-2023-24880) por diferentes actores de amenazas. Acerca de CVE-2023-23397CVE-2023-23397 (9.8) es una vulnerabilidad de Escalamiento de Privilegios (EoP) crítica en Microsoft Outlook que se activa cuando un atacante envía un mensaje con una propiedad MAPI extendida con una ruta UNC (tipo \10.1.1.1) a un recurso compartido SMB (TCP 445) en un servidor controlado por un actor de amenazas. «La conexión al servidor SMB remoto envía el mensaje de negociación NTLM del usuario, que el atacante puede transmitir para la autenticación contra otros sistemas que admitan la autenticación NTLM», explica Microsoft. En esta elevación de privilegios en Outlook, el atacante podría hacerse con el hash NTLMv2, lo que le permitiría autenticarse en red contra otros sistemas. No se requiere interacción del usuario. Al momento de recibir un correo en Outlook, este busca la ruta UNC y pasa el hash de autenticación NTLMv2. Según Sergio de los Santos (aka @ssantosv), se abusa de una función llamada PidLidReminderFileParameter que permite que se establezca el sonido de una alerta.Con esta función, se puede usar otra llamada PidLidReminderOverride, que como el propio nombre indica, permite que el atacante establezca el sonido y lo sobreponga al establecido. Y ahí, se puede escribir la ruta UNC. Aunque Microsoft no ha dado detalles técnicos, sí que ha liberado un script en PowerShell para administradores de Exchange que permite buscar ese parámetro y saber si apunta a un UNC. Satnam Narang, ingeniero senior de investigación del personal de Tenable, señala que las vulnerabilidades de Outlook a menudo son desencadenables por la funcionalidad del Panel de vista previa, pero esta no. «Esto se debe a que la vulnerabilidad se activa en el lado del servidor de correo electrónico, lo que significa que la explotación ocurriría antes de que la víctima vea el correo electrónico malicioso». La falla afecta a todas las versiones compatibles de Microsoft Outlook para Windows, pero no a Outlook para Mac, iOS o Android, ni a Outlook en la web. «Los servicios en línea como Microsoft 365 no admiten la autenticación NTLM y no son vulnerables a ser atacados por estos mensajes», señaló Microsoft. La vulnerabilidad fue señalada por el CERT ucraniano y los equipos de Incident and Treat Intelligence de Microsoft. La empresa evalúa que un actor de amenazas con sede en Rusia usó el exploit parcheado en CVE-2023-23397 en ataques dirigidos contra un número limitado de organizaciones en los sectores gubernamental, de transporte, energético y militar en Europa, y compartió un script que las organizaciones pueden usar para verificar si han estado entre los objetivos. El investigador de MDSec, Dominic Chell, tiene un excelente artículo sobre cómo se puede explotar fácilmente CVE-2023-23397. Acerca de CVE-2023-24880 CVE-2023-24880 (5.1) es una vulnerabilidad que permite a los atacantes eludir la función Windows SmartScreen. «Cuando descarga un archivo de Internet, Windows agrega el identificador de zona o Mark of the Web (MoTW) como una stream NTFS al archivo. Entonces, cuando ejecuta el archivo, Windows SmartScreen verifica si hay un identificador de zona Alternate Data Stream (ADS) adjunto al archivo. Si el ADS indica ZoneId=3, lo que significa que el archivo se descargó de Internet, SmartScreen realiza una verificación de reputación». En resumen se logra saltear para que el archivo malicioso no pase por el análisis de seguridad. Esta vulnerabilidad se puede explotar creando un archivo malicioso que evade las defensas MoTW, lo que significa que no se activarán medidas de protección como Windows SmartScreen y Microsoft Office Protected View. Los investigadores Benoît Sevens y Vlad Stolyarov del Threat Analysis Group (TAG) de Google informaron a Microsoft sobre la explotación in-the-wild de la vulnerabilidad, que detectaron que estaba siendo explotada para entregar el ransomware Magniber. «Los atacantes están entregando archivos MSI firmados con una firma Authenticode no válida pero especialmente diseñada. La firma hace que SmartScreen devuelva un error para que se omita el cuadro de diálogo de advertencia de seguridad que debería mostrarse cuando un archivo que no es de confianza contiene una Marca de la Web (MotW)», explicó el equipo. TAG ha observado más de 100.000 descargas de archivos MSI maliciosos desde enero de 2023, con más del 80% a usuarios en Europa, una diferencia notable con respecto a la orientación típica de Magniber, que generalmente se enfoca en Corea del Sur y Taiwán. También señalaron que, en septiembre y noviembre de 2022, los actores de amenazas utilizaron una vulnerabilidad de omisión de SmartScreen similar (CVE-2022-44698) para entregar el ransomware Magniber y el ladrón de información Qakbot, antes de que se reparara la falla en diciembre de 2022. El problema, dicen, es que el parche era demasiado «estrecho», por lo que los atacantes iteraron y descubrieron nuevas variantes. Al reparar un problema de seguridad, existe una tensión entre una solución localizada y confiable y una solución potencialmente más difícil del problema de causa raíz subyacente. Debido a que no se abordó la causa raíz detrás de la omisión de seguridad de SmartScreen, los atacantes pudieron identificar rápidamente una variante diferente del error original. Project Zero ha escrito y presentado extensamente sobre esta tendencia, y recomienda varias prácticas para garantizar que los errores se solucionen de manera correcta y completa. Otras vulnerabilidades Dustin Childs, de la iniciativa Zero Day de Trend Micro, también destacó una falla de RCE de pila de protocolo HTTP/3 que se puede usar como gusano (CVE-2023-23392) que se puede explotar en una configuración común de Windows 11 y Windows Server 2022, y RCE potencialmente que se puede usar como gusano en el Protocolo de mensajes de control de Internet (CVE-2023-23415). Agregue a esa lista CVE-2023-23416, un RCE en Windows Cryptographic Services. «Para una explotación exitosa, se debe importar un certificado malicioso en un sistema afectado. Un atacante podría cargar un certificado en un servicio que procesa o importa certificados, o un atacante podría convencer a un usuario autenticado para que importe un certificado en su sistema», señaló la empresa.

Un aviso conjunto de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) tiene como objetivo distribuir información sobre indicadores conocidos de compromiso del ransomware LockBit 3.0. (IOC) y técnicas (TTP) que se descubrieron durante las investigaciones del FBI en marzo de 2023. El ransomware LockBit 3.0 es una continuación de los programas de ransomware LockBit 2.0 y LockBit. Utiliza un modelo de Ransomware-as-a-Service (RaaS) para llevar a cabo sus actividades y funciones como un modelo RaaS. LockBit ha estado funcionando como una variante de ransomware basada en afiliados desde enero de 2020; los afiliados que implementan LockBit RaaS utilizan una amplia variedad de TTP para dirigirse a una amplia variedad de empresas y organizaciones de infraestructura crítica, lo que puede dificultar la defensa efectiva de las redes informáticas o mitigar sus efectos. LockBit 3.0, también conocido como “LockBit Black”, es una versión actualizada del ransomware que es más modular y escurridizo que sus versiones anteriores. También tiene características con el malware conocido como Blackmatter y Blackcat. Durante el proceso de compilación, LockBit 3.0 se personaliza con una amplia variedad de variables, cada una de las cuales influye en la forma en que opera el ransomware. Durante el proceso de puesta en acción del ransomware dentro de un entorno que pertenece a una víctima, se pueden dar numerosos argumentos para ajustar aún más el comportamiento del malware. Por ejemplo, LockBit 3.0 permite la aceptación de argumentos adicionales para algunas acciones, como el movimiento lateral y el reinicio en modo seguro (consulte los parámetros de la línea de comandos de LockBit en Indicadores de compromiso). Si un afiliado de LockBit no tiene acceso al ransomware LockBit 3.0 sin contraseña, entonces la ejecución del ransomware necesitará el ingreso de un argumento de contraseña. Aquellos que están afiliados a LockBit 3.0 pero no ingresan la contraseña correcta no podrán llevar a cabo el ransomware. Una clave criptográfica, la contraseña se utiliza para decodificar el ejecutable LockBit 3.0. LockBit 3.0 puede evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware.  Es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. Es capaz de evitar la detección y el análisis de malware cifrando el código de tal manera que sea indescifrable y no se pueda ejecutar. Esto hace que el código sea inútil para detectar y analizar malware. Dado que la poción cifrada del ejecutable de LockBit 3.0 cambiará según la clave criptográfica que se utilizó para el cifrado y, al mismo tiempo, se crea un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable de LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. 0 cambiará dependiendo de la clave criptográfica que se usó para el cifrado mientras se crea simultáneamente un hash único, es posible que las detecciones basadas en firmas no puedan identificar el ejecutable LockBit 3.0. LockBit 3.0 descifrará el componente principal cuando se le proporcione la contraseña adecuada, luego continuará descifrando o descomprimiendo su código y finalmente ejecutará el ransomware. LockBit 3.0 solo infectará equipos que no tengan una configuración de idioma que sea compatible con una lista de exclusión que se haya especificado. Un indicador de configuración que se estableció por primera vez en el momento de la compilación decidirá en última instancia si un idioma del sistema se verifica o no cuando realmente se usa en tiempo de ejecución. En la lista de idiomas que no se pueden usar no se limitan, pero incluyen, rumano (hablado en Moldavia), árabe (hablado en Siria) y tártaro (Rusia). LockBit 3.0 detendrá la ejecución si se encuentra un idioma de la lista de exclusión [T1614.001], y no infectará el sistema. Para disminuir el riesgo de ataques de ransomware y disminuir su gravedad cuando ocurren, el FBI, CISA y MS-ISAC aconsejan a las empresas que pongan en práctica las mitigaciones. @noticiasdeseguridad.com

 Los investigadores de Check Point Research, señalan que Qbot, también conocido como Qakbot y AKA Qakbot, ha infiltrado los sistemas de más de 11,5% de empresas en Chile desde enero de este año. Este troyano bancario fue diseñado para robar las credenciales bancarias y pulsaciones de teclas de un usuario, y su mayor fortaleza es su capacidad para evadir la detección y dificultar el análisis. Como explica Gery Coronel, Country Manager Chile de Check Point Software, normalmente se distribuye a través de correo electrónico no deseado, empleando varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección. Frecuentemente, los ataques de phishing utilizan una vulnerabilidad de día cero de Windows para instalar malware QBot a través de archivos distribuidos por correo electrónico, evitando que se muestren las advertencias de seguridad Mark of the Web (MoTW, por sus siglas en inglés), que usualmente aparecen cuando se descargan archivos que no son de confianza. Los especialistas de Check Point señalan que el avance de QBot se debe principalmente a su amplia capacidad y eficiencia para actuar rápido en el robo de información, robo de credenciales a partir de datos del navegador y cookies, entradas prácticamente automáticas a apps y páginas bancarias, forzamiento de contraseñas y manipulación del registro y creación de tareas programadas para persistir dentro de los computadores. Otros malware de alta prevalencia en Chile desde enero a la fecha son Emotet, con un 8%, y XMRig, con 4,4%. Emotet es un troyano avanzado, de autopropagación y modular, que alguna vez se usó como un troyano bancario y actualmente distribuye otros malwares o campañas maliciosas, que utiliza varios métodos para mantener las técnicas de persistencia y evasión para evitar la detección, y que se puede propagar a través de correos electrónicos no deseados de phishing que contienen archivos adjuntos o enlaces maliciosos. XMRig, por su parte, es un software de minería de CPU de código abierto que se utiliza para extraer la criptomoneda Monero. Los ciberdelincuentes a menudo abusan de este software de código abierto integrándolo en su malware, para realizar minería ilegal en los dispositivos de las víctimas. @trendtic.cl

Una versión actualizada de un malware de botnet llamado Prometei ha infectado más de 10 000 sistemas en todo el mundo desde noviembre de 2022. Las infecciones son geográficamente indiscriminadas y oportunistas, con la mayoría de las víctimas reportadas en Brasil, Indonesia y Turquía. Prometei, observado por primera vez en 2016, es una botnet modular que presenta un gran repertorio de componentes y varios métodos de proliferación, algunos de los cuales también incluyen la explotación de las fallas de ProxyLogon Microsoft Exchange Server. También es notable por evitar atacar a Rusia, lo que sugiere que los actores de amenazas detrás de la operación probablemente tengan su sede en el país. Las motivaciones de la botnet multiplataforma son financieras, principalmente aprovechando su grupo de hosts infectados para extraer criptomonedas y recolectar credenciales. La última variante de Prometei (llamada v3) mejora sus características existentes para desafiar el análisis forense y profundizar aún más su acceso en las máquinas de las víctimas, dijo Cisco Talos en un informe compartido con The Hacker News. La secuencia de ataque procede de la siguiente manera: al obtener un punto de apoyo exitoso, se ejecuta un comando de PowerShell para descargar la carga útil de la red de bots desde un servidor remoto. Luego, el módulo principal de Prometei se usa para recuperar la carga útil real de criptominería y otros componentes auxiliares en el sistema. Algunos de estos módulos de soporte funcionan como programas propagadores diseñados para propagar el malware a través del Protocolo de escritorio remoto ( RDP ), Secure Shell ( SSH ) y Server Message Block ( SMB ). Prometei v3 también se destaca por usar un algoritmo de generación de dominios ( DGA ) para construir su infraestructura de comando y control (C2). Incluye además un mecanismo de actualización automática y un conjunto ampliado de comandos para recopilar datos confidenciales y controlar el host. Por último, pero no menos importante, el malware implementa un servidor web Apache que se incluye con un shell web basado en PHP, que es capaz de ejecutar comandos codificados en Base64 y realizar cargas de archivos. «Esta reciente adición de nuevas capacidades [indica] que los operadores de Prometei están continuamente actualizando la botnet y agregando funcionalidad», dijeron los investigadores de Talos Andrew Windsor y Vanja Svajcer. @thehackernews

Por qué es más probable que los estafadores se dirijan a los niños frente a los jugadores más expertos, cómo lo hacen y qué quieren robar Hoy en día, un niño de 12 o 13 años puede convertirse en un jugador profesional de eSports, de hecho, el más joven de ellos comenzó su carrera con tan solo 4 años. El mundo de los videojuegos se ha rejuvenecido, pero todos los gamers, tanto niños como adultos, se enfrentan a múltiples ciberamenazas. Además, los estafadores adaptan cada una de sus estrategias a la edad de su audiencia. Aunque los niños pasan menos tiempo jugando a juegos online que los adultos, siguen siendo uno de los objetivos más buscados por los ciberdelincuentes: después de todo, un niño puede llevarte fácilmente a la tarjeta bancaria de sus padres. Los regalos siguen sonando bien Una de las estafas más comunes dirigidas a los gamers más jóvenes toma la forma de una oferta para generar dinero dentro del juego de forma gratuita. Esto se debe a que los niños de hoy en día prefieren gastar el dinero de sus padres en las compras dentro del juego que en cualquier otra cosa. Para ser el mejor de los mejores en casi cualquier juego online, necesitas monedas virtuales, muchas, como V-bucks en Fortnite o Robux en Roblox y, para evitar tener que pedir dinero a sus padres, los niños siempre van en busca de monedas gratis, lo que los hace vulnerables a los ciberdelincuentes. Dando por hecho el escaso conocimiento en materia de ciberseguridad de la mayoría de los niños, los estafadores ni siquiera se molestan en preparar estrategias inteligentes y explican en detalle qué datos quieren de sus víctimas. Por ejemplo, en un sitio de phishing que pretende generar gemas, la moneda del popular juego infantil Brawl Stars, se pide a los usuarios que respondan solo cuatro preguntas para obtener tantas gemas como deseen. Además de la cantidad deseada de gemas y su nombre en el juego, el usuario también debe proporcionar la dirección de correo electrónico vinculada a la tienda de juegos online Supercell y, adivina, ¡su contraseña! Los creadores del sitio nunca explican por qué el jugador tiene que compartir estos datos. Ahora, en posesión del correo electrónico de la víctima, los atacantes pueden obtener un código de seguridad para iniciar sesión en su cuenta de Supercell y secuestrarla cambiando la contraseña. Entonces, en lugar de recoger gemas gratis, el jugador pierde tanto su cuenta de correo como toda su experiencia acumulada y monedas en Brawl Stars. Gemas gratis Otras estafas son aún más primitivas. Un sitio de phishing que encontramos invitaba a los usuarios a descargar trampas de Valorant que brindan una ventaja sobre otros jugadores, junto con una guía de instalación detallada. Una de las instrucciones consistía en deshabilitar todo el software antivirus antes de instalar el archivo; de lo contrario, la trampa se identificaría como un falso positivo y no se instalaría. El archivo ejecutable está comprimido en un archivo Winrar protegido por contraseña, cuyo contenido no puede verificarse por el antivirus antes de descomprimirse, y debe “Ejecutarse como administrador” para que el virus obtenga acceso completo al ordenador de la víctima. Cuanto más tiempo esté deshabilitado el antivirus de la víctima, más datos podrán extraer los estafadores. Ayuda si el niño tiene su propio ordenador, pero ¿qué pasa si se trata de un ordenador doméstico compartido lleno de datos de los padres, incluidas contraseñas e información de tarjetas bancarias? Así obtienen toda la información de tu PC. Casi cualquier adulto sabría detectar que algo en todo este asunto no huele bien, pero los niños saben poco o nada sobre los trucos de los ciberdelincuentes. Las estadísticas muestran que el malware disfrazado de Minecraft o Roblox se ha descargado 3 o 4 veces más que el que está enfocado a los juegos para una audiencia más madura. Para conocer más ejemplos de estafas dirigidas a niños, puedes consultar nuestro informe sobre las amenazas que sufren los jugadores más jóvenes. Cuanta más experiencia, más complicada es la estafa Para engañar a los jugadores más experimentados, los estafadores deben ser mucho más sofisticados. Cuando se dirigen a una audiencia adulta, crean sitios de phishing que imitan juegos para mayores de 18 años, como GTA Online. Pero el resultado es el mismo: estafan a la víctima para sonsacarle sus datos y su cuenta del juego, o se le pide que realice una prueba online “No soy un robot” a cambio de un premio, por ejemplo, el último iPhone o una PlayStation 5. Solo que, para recibirlo, debe pagar una pequeña comisión. Y como habrás adivinado, después de pagarla, el jugador no obtiene ningún premio, sino todo lo contrario: acaba comprometiendo su tarjeta bancaria. Así roban tus datos bancarios con el GTA Online como cebo. También este año, los ciberdelincuentes han aprendido a imitar las tiendas de juegos tan populares como CS:GO, PUBG y Warface. Para conseguir un buen skin a bajo precio, las víctimas tenían que introducir sus credenciales de Steam o, incluso, de redes sociales como Twitter o Facebook. Tan pronto como ingresaban estos datos, su cuenta iba a parar directamente a manos de los ciberdelincuentes, y todas sus skins y demás objetos se vendían a otros jugadores. Adiós a tus objetos. Otro truco común es ofrecer paquetes de juegos (decenas o incluso cientos) con licencia por muy poco dinero, pero esta mísera suma debes pagarla con tu tarjeta bancaria. También puedes obtener un “Pase de batalla” de forma gratuita, pero para confirmar, por ejemplo, tu edad, debes aportar la información de tu tarjeta de crédito. Queda claro que probablemente estos datos se roben y acaben vendiéndose en la dark web. ¡No volverá a estar tan barato! Bueno, espera… ¿Cómo protegerte contra estas amenazas? Tanto aficionados como jugadores expertos se enfrentan a las mismas amenazas y vale la pena saber cómo protegerse contra ellas: @blog oficial de kaspersky

El investigador Joshua J. Drake (@jduck) ha publicado los detalles de la vulnerabilidad Zero-Day de Microsoft Word que Microsoft corrigió en las actualizaciones de parches de febrero de 2023. Microsoft corrigió esta vulnerabilidad de Microsoft Word, identificada como CVE-2023-21716, que puede conducir a la ejecución remota de código (RCE). Ya hay actores maliciosos que están lanzando campañas aprovechando la vulnerabilidad, que es tan sencilla que entra en un twit. En la actualización del parche de febrero de 2023, Microsoft corrigió 75 vulnerabilidades de seguridad en varios productos de Microsoft, incluidos tres Zero-Day. Entre las vulnerabilidades Zero-Day que se abordaron, se solucionó una vulnerabilidad de ejecución remota de código (RCE) de gravedad crítica que existía en Microsoft Word (CVE-2023-21716) con un puntaje CVSS de 9.8/10 . Estas vulnerabilidades es fácilmente explotables por los operadores de ransomware, lo que la convierte en una gran preocupación para los usuarios. Está vulnerabilidad, dentro de wwlib de Microsoft Office, permite a los atacantes lograr la ejecución remota de código con los privilegios de la víctima que abre un documento RTF malicioso. El atacante podría entregar este archivo como un archivo adjunto de correo electrónico (u otros medios).  La vulnerabilidad radica en el analizador RTF en Microsoft Word, que contiene una vulnerabilidad de corrupción cuando se trata de una tabla de fuentes (\fonttbl) que contiene una cantidad excesiva de fuentes. Los atacantes pueden explotar esta escritura de memoria fuera de los límites para ejecutar código arbitrario con los privilegios de la víctima que abre el documento RTF malicioso. El fallo es grave porque permitiría tomar el control completo del sistema sin siquiera abrir el archivo, es decir con un exploit de Zero-Clicks. Inicialmente, los archivos afectados tienen extensión .RTF pero pueden ser modificados para ser ejecutados al descargar el archivo e incluso al verlo en el explorador de archivos. Para aprovechar esta vulnerabilidad, un atacante podría entregar un archivo RTF malicioso como un archivo adjunto de correo electrónico o por otros medios. Cuando la víctima abre el archivo, se activa la vulnerabilidad y el atacante puede ejecutar código arbitrario con los mismos privilegios que la víctima, lo que potencialmente le permitiría tomar el control del sistema. Versiones afectadas Según el investigador, esta vulnerabilidad afecta al menos a las siguientes versiones de Microsoft Office: Las versiones anteriores también pueden verse afectadas, pero no se probaron. Se puede desactivar la apertura de archivos RTF por defecto de la siguiente manera. Al igual que sucedía con la vulnerabillidad Follina, también se pueden bloquear los archivos RTF a través de la desactivación del protocolo de URL MSDT, ya sea borrando la línea de registro que da soporte a MSDT (reg delete HKEY_CLASSES_ROOT\ms-msdt /f) o bloqueando los archivos RTF para que no se puedan abrir con Microsoft Office. Office 2013 [HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock] Set the RtfFiles DWORD value to 2. Set the OpenInProtectedView DWORD value to 0. Office 2016 / 2019 / 2021 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] Set the RtfFiles DWORD value to 2. Set the OpenInProtectedView DWORD value to 0.

Los investigadores de seguridad cibernética han descubierto un nuevo ladrón de información denominado SYS01stealer dirigido a empleados de infraestructuras gubernamentales críticas, empresas manufactureras y otros sectores. «Los actores de amenazas detrás de la campaña están apuntando a las cuentas comerciales de Facebook mediante el uso de anuncios de Google y perfiles falsos de Facebook que promocionan cosas como juegos, contenido para adultos y software descifrado, etc. para atraer a las víctimas para que descarguen un archivo malicioso», dijo Morphisec en un informe . compartido con The Hacker News. «El ataque está diseñado para robar información confidencial, incluidos datos de inicio de sesión, cookies e información de cuentas comerciales y anuncios de Facebook». La compañía de seguridad cibernética israelí dijo que la campaña estaba inicialmente vinculada a una operación cibercriminal con motivación financiera denominada Ducktail por Zscaler. Sin embargo, WithSecure, que documentó por primera vez el grupo de actividad de Ducktail en julio de 2022, dijo que los dos conjuntos de intrusos son diferentes entre sí, lo que indica cómo los actores de amenazas lograron confundir los esfuerzos de atribución y evadir la detección. La cadena de ataque, según Morphisec, comienza cuando se atrae a la víctima para que haga clic en una URL de un perfil o anuncio falso de Facebook para descargar un archivo ZIP que pretende ser software descifrado o contenido para adultos. Al abrir el archivo ZIP, se inicia un cargador basado, generalmente una aplicación C# legítima, que es vulnerable a la carga lateral de DLL , lo que hace posible cargar un archivo de biblioteca de vínculos dinámicos (DLL) malicioso junto con la aplicación. Algunas de las aplicaciones de las que se abusa para descargar la DLL no autorizada son WDSyncService.exe de Western Digital y ElevatedInstaller.exe de Garmin. En algunos casos, la DLL de carga lateral actúa como un medio para implementar ejecutables intermedios basados en Python y Rust. Independientemente del enfoque empleado, todos los caminos conducen a la entrega de un instalador que descarga y ejecuta el malware SYS01stealer basado en PHP. El ladrón está diseñado para recolectar cookies de Facebook de navegadores web basados en Chromium (por ejemplo, Google Chrome, Microsoft Edge, Brave, Opera y Vivaldi), filtrar la información de Facebook de la víctima a un servidor remoto y descargar y ejecutar archivos arbitrarios. También está equipado para cargar archivos desde el host infectado al servidor de comando y control (C2), ejecutar comandos enviados por el servidor y actualizarse cuando hay una nueva versión disponible. El desarrollo se produce cuando Bitdefender reveló una campaña de robo similar conocida como S1deload que está diseñada para secuestrar las cuentas de Facebook y YouTube de los usuarios y aprovechar los sistemas comprometidos para extraer criptomonedas. «La carga lateral de DLL es una técnica muy eficaz para engañar a los sistemas Windows para que carguen código malicioso», dijo Morphisec. «Cuando una aplicación se carga en la memoria y no se aplica el orden de búsqueda, la aplicación carga el archivo malicioso en lugar del legítimo, lo que permite a los actores de amenazas secuestrar aplicaciones legítimas, confiables e incluso firmadas para cargar y ejecutar cargas maliciosas».

El sitio de la dark BidenCash, dedicado a la venta de datos de tarjetas de crédito y débito robadas, cumplió un año y lo celebró publicando de forma gratuita una base de datos con 2.165.700 tarjetas de crédito y débito. Según reveló Cyble, que fueron quienes descubrieron la publicación de esta información, el anuncio de BidenCash tiene como objetivo promocionar el servicio. Los datos filtrados incluyen, además del número de la tarjeta, fecha de expiración (que en algunos casos llega a 2052) y código de seguridad, otra información personal complementaria, como nombre, dirección de correo, número de teléfono y domicilio. Los datos corresponden a tarjetas de crédito y débito de distintos países. Si bien Estados Unidos aparece como el más afectado con 965 mil registros, en segundo lugar aparece México con 97.663 y China en tercer lugar con 97.003. Según explicó Andrea Draghetti de la firma D3labIT a BleepingComputer, si bien luego de analizar la base se observó que muchos de los datos eran duplicados, más de dos millones eran únicos. Asimismo, la base de datos también incluye 497.000 direcciones de correo electrónico únicas que pueden ser utilizadas para el envío de correos de phishing o realizar otro tipo de fraudes como robo de identidad. Por otra parte, si bien los investigadores no pudieron confirmar la validez de los datos filtrados, esto no quiere decir que pueden ser desestimados por los bancos ni por los clientes. Más allá de los datos de las tarjetas de crédito y débito, el resto de la información personal también puede ser aprovechada para ataques de phishing y otros fraudes, por lo tanto el riesgo existe. BidenCash es un sitio que está activo desde el 28 de febrero de 2022 y ya ha utilizado otras veces la filtración de bases de datos como una estrategia para promocionar sus servicios. En octubre hizo lo mismo con una base de datos que contenía más de 1.2 millones de tarjetas de crédito. @Juan Manuel Harán – Eset