Nombre del autor:jcamhi

Los autores de la campaña de redireccionamiento de sombrero negro han ampliado su campaña con más de 70 dominios falsos que imitan acortadores de URL y han infectado más de 10.800 sitios web. “El objetivo principal sigue siendo el fraude publicitario mediante el aumento artificial del tráfico a páginas que contienen el ID de AdSense que contienen anuncios de Google para generar ingresos”, afirmó Ben Martin, investigador de Sucuri, en un informe publicado la semana pasada. Los detalles de la actividad maliciosa fueron expuestos por primera vez por la empresa propiedad de GoDaddy en noviembre de 2022. La campaña, que se dice que ha estado activa desde septiembre del año pasado, está orquestada para redirigir a los visitantes de sitios WordPress comprometidos a portales falsos de preguntas y respuestas. El objetivo, al parecer, es aumentar la autoridad de los sitios de spam en los resultados de los motores de búsqueda. “Es posible que estos malos actores estén simplemente intentando convencer a Google de que personas reales de diferentes IP que utilizan diferentes navegadores están haciendo clic en sus resultados de búsqueda”, señaló Sucuri en su momento. “Esta técnica envía artificialmente a oogle señales de que esas páginas están funcionando bien en las búsquedas”. Lo que hace que la última campaña sea significativa es el uso de enlaces de resultados de búsqueda de Bing y el servicio de acortador de enlaces de Twitter (t[.]co), junto con Google, en sus redirecciones, lo que indica una expansión de la huella del actor de la amenaza. También se utilizan dominios de URL pseudoacortadas que se hacen pasar por herramientas populares de acortamiento de URL como Bitly, Cuttly o ShortURL, pero que en realidad dirigen a los visitantes a sitios de preguntas y respuestas poco fiables. Sucuri dijo que las redirecciones aterrizaron en sitios de preguntas y respuestas que discuten blockchain y criptomoneda, con los dominios URL ahora alojados en DDoS-Guard, un proveedor ruso de infraestructura de Internet que ha estado bajo el escáner por proporcionar servicios de alojamiento a prueba de balas. No se sabe con exactitud cómo se infectan los sitios de WordPress. Pero una vez que el sitio web es violado, el actor de la amenaza inyecta código PHP de puerta trasera que permite el acceso remoto persistente, así como redirigir a los visitantes del sitio.

Un proveedor de mitigación DDoS dijo que sus clientes fueron golpeados con una ola de ataques volumétricos durante el fin de semana diseñado para inundar sus sitios web con peticiones HTTP, incluyendo el mayor ataque de este tipo registrado. Cloudflare explicó en un blog que se vio obligado a mitigar docenas de ataques DDoS “hipervolumétricos”, lanzados desde más de 30.000 direcciones IP. “La mayoría de los ataques alcanzaron picos de entre 50 y 70 millones de peticiones por segundo (rps), superando el mayor de ellos los 71 millones de rps. Se trata del mayor ataque DDoS HTTP registrado, más de un 35% superior al anterior récord de 46 millones de rps registrado en junio de 2022”, explica. “Algunos de los sitios web atacados incluyeron un popular proveedor de juegos, compañías de criptomonedas, proveedores de alojamiento y plataformas de computación en la nube. Los ataques se originaron en numerosos proveedores de nube, y hemos estado trabajando con ellos para acabar con la botnet.” La campaña sigue una tendencia reciente de los ataques DDoS, no sólo en su tamaño creciente sino en el hecho de que se originan en direcciones IP dentro de ecosistemas de computación en nube. Según CompTIA, los ataques volumétricos son en realidad la forma menos común de DDoS, y se ven muchos menos que los ataques de capa de aplicación y de protocolo. Sin embargo, Cloudflare advirtió que en el cuarto trimestre, los ataques DDoS HTTP aumentaron un 79% interanual. “Además, la cantidad de ataques volumétricos que superaron los 100 Gbps creció un 67% trimestre a trimestre (QoQ), y el número de ataques que duraron más de tres horas aumentó un 87% QoQ”, añadió. “La audacia de los atacantes también ha aumentado. En nuestro último informe sobre amenazas DDoS, vimos que los ataques DDoS de rescate aumentaron constantemente durante todo el año. Alcanzaron su punto máximo en noviembre de 2022, donde uno de cada cuatro clientes encuestados informó haber sido objeto de ataques o amenazas DDoS Ransom”.

El actor de amenazas patrocinado por el estado chino, DEV-0147, ha sido descubierto atacando entidades diplomáticas en Sudamérica con el troyano de acceso remoto (RAT) ShadowPad, también conocido como PoisonPlug. Microsoft compartió los hallazgos en Twitter el lunes, diciendo que la nueva campaña del actor de amenazas representa una notable expansión de las operaciones de exfiltración de datos del grupo, que anteriormente se dirigían a agencias gubernamentales y grupos de reflexión en Asia y Europa. Desde un punto de vista técnico, el gigante tecnológico dijo que observó a DEV-0147 desplegar ShadowPad, una RAT asociada con otros actores con sede en China, para lograr persistencia, y QuasarLoader, un cargador webpack, para descargar y ejecutar malware adicional. Según los investigadores de seguridad de Secureworks, ShadowPad ha evolucionado a partir del malware PlugX. Es empleado con frecuencia por grupos de adversarios chinos relacionados con el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (EPL). “Las pruebas disponibles hasta el momento de esta publicación sugieren que ShadowPad ha sido desplegado por grupos de amenazas afiliados al MSS, así como por grupos de amenazas afiliados al EPL que operan en nombre de los comandos de teatro regionales”, reza un aviso de Secureworks de febrero de 2022. “El malware probablemente fue desarrollado por actores de amenazas afiliados a BRONZE ATLAS y luego compartido con grupos de amenazas MSS y PLA alrededor de 2019. Dada la gama de grupos que aprovechan ShadowPad, todas las organizaciones que son objetivos probables de los grupos de amenazas chinos deben monitorear las [tácticas, técnicas y procedimientos] TTP asociadas con este malware”.

As part of the ReversingLabs research team’s ongoing surveillance of open source repositories, we have identified aabquerys, a malicious npm package that downloads second and third stage malware payloads to systems that have downloaded and run the npm package. REFERENCE: https://www.reversinglabs.com/blog/open-source-malware-sows-havoc-on-supply-chainTAGS: npm, JavaScript, HavocMALWARE FAMILY: HavocATT&CK IDS: T1027 – Obfuscated Files or Information, T1195 – Supply Chain Compromise, T1059 – Command and Scripting Interpreter, T1102 – Web Service, T1127 – Trusted Developer Utilities Proxy Execution, T1104 – Multi-Stage Channels, T1546 – Event Triggered Execution, T1553 – Subvert Trust Controls, T1574 – Hijack Execution Flow Indicadores de Compromiso FileHash-SHA256 ba1ad7b7af4de11e17842fd4b4c97f02bc91fabe62fbcd319bf7ee5893df2b96 FileHash-SHA1 aa96e359daf6f90c2170c99a383f4f6b87e2154a FileHash-SHA1 a3dc96b5553606a039a68783989eba4cc0732b3a FileHash-SHA1 745f47e5349a99ee867fc1f5358462d176f97c6f FileHash-SHA1 62036fd054bac1375fe1205dc595a246e9d94a83 FileHash-SHA1 4b0c13a054cadbfddf82686f4b4ff082e9cae428 FileHash-SHA1 4ae6fec8052a9648abaaa7b41625c911f355eaa7 FileHash-SHA1 4789cf9141da47fe265e3d646609d864e0074711 FileHash-SHA1 36cce0d19253d08252d0d3ade1755d6b064786ae FileHash-SHA1 1f1aadda137e5f6d1d914f1c69160eed4dda8517 FileHash-SHA1 0dd0784b875183c5c8701ae4f46ed371a16fd6b3 FileHash-SHA1 09a47a484c8e83f0d36772a445b4e6bc12dc247b FileHash-MD5 9d98e4f469d52272dfc10c3437ed587e FileHash-MD5 bb63ec5a33b0c1f2df171b48b37d4743 FileHash-SHA256 4ffa5d46468a0d37cc4bb9cdd344e8f80bf3ea1cf36807816b4f1d9efdf4f34e FileHash-MD5 d4205e5a31d4b8a6463a8c1913f9ee3a FileHash-SHA256 5e2f5d13f7eaf0d1f651b3836f405f7fd230eb42491ff741071daf84583acb16

Una vulnerabilidad fue encontrada en Microsoft Edge y clasificada como problemática. Este problema afecta a algunos procesos desconocidos. La manipulación conduce a la ejecución remota de código. La identificación de esta vulnerabilidad es CVE-2023-23374. El ataque puede iniciarse de forma remota. No hay explotación disponible. Se recomienda aplicar un parche para solucionar este problema. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23374