Tag: informáticos

Los piratas informáticos ocultan malware en imágenes de sitios web para que nadie se dé cuenta

Post author By lisa nichols
Post date January 17, 2025
No Comments on Los piratas informáticos ocultan malware en imágenes de sitios web para que nadie se dé cuenta

[ad_1]

Los investigadores dicen que los delincuentes ocultan malware en imágenes alojadas en sitios web de buena reputación
Se ha visto al menos dos grupos diferentes desplegando dos tipos de ladrones de información.
HP Wolf Security afirma que las campañas están explotando una antigua vulnerabilidad en Excel

Los hackers se esconden malware Los expertos han advertido que las imágenes en los sitios web no se notan y ponen en riesgo el mayor número posible de ordenadores.

Nuevo informe sobre información sobre amenazas de caballos de fuerza Wolf Security afirma, basándose en datos de millones de puntos finales, que actualmente hay grandes campañas activas que difunden VIP Keylogger y 0bj3ctivityStealer. Dado que en ambos se utilizan las mismas técnicas y cargadores, los investigadores sospechan que dos grupos están utilizando las mismas combinaciones de malware para entregar diferentes cargas útiles.

“En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios de alojamiento de archivos como archive.org, además de utilizar el mismo cargador para instalar la carga útil final”, explicaron los investigadores. “Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imágenes parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red, como los servidores proxy web basados en la reputación”.

Agregue GenAI a la mezcla

El ataque comienza con un correo electrónico de phishing que se hace pasar por una factura o una orden de compra. El archivo adjunto suele ser un documento de Excel diseñado para aprovechar CVE-2017-11882, un error antiguo en el Editor de ecuaciones, para descargar un archivo VBScript.

Alex Holland, investigador principal de amenazas en HP Security Lab, dijo que los kits de phishing, combinados con herramientas de inteligencia artificial generativa (GenAI), han reducido drásticamente la barrera de entrada, exacerbando la amenaza siempre presente del malware: “Esto permite a los grupos centrarse en Engaña a sus objetivos y elige la mejor carga útil para la misión, por ejemplo apuntando a los jugadores con repositorios de trampas maliciosas.

Al hablar de GenAI, los investigadores dijeron que los malhechores lo están utilizando para crear documentos HTML maliciosos. También identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el secuestro de HTML, que contiene código malicioso que descarga y ejecuta malware.

Agregaron que está bastante claro que el cargador está escrito por IA, ya que incluye una descripción línea por línea y un diseño de página HTML.

Tanto VIP Keylogger como 0bj3ctivityStealer son malware que roba información y registra y filtra información confidencial como contraseñas, información de billeteras de criptomonedas, archivos confidenciales y más.

También te puede gustar

[ad_2]

Source Article Link

Tags cuenta, dé, imágenes, informáticos, Los, malware, nadie, ocultan, para, piratas, sitios, Web

Life Style

El Tesoro de Estados Unidos confirma que fue pirateado por piratas informáticos respaldados por China

Post author By lisa nichols
Post date December 31, 2024
No Comments on El Tesoro de Estados Unidos confirma que fue pirateado por piratas informáticos respaldados por China

[ad_1]

Según A. carta El Tesoro de Estados Unidos reveló a los legisladores el lunes 30 de diciembre que piratas informáticos respaldados por China penetraron con éxito los sistemas del departamento y robaron documentos gubernamentales este mes.

Ver también:

Los piratas informáticos toman el control de las extensiones de Google Chrome en ciberataques

harapos, Reportado por primera vez por Reutersdestaca otro ejemplo más de ciberespionaje patrocinado por el estado dirigido a empleados del gobierno de EE. UU., apenas unos momentos después. AT&T y Verizon finalmente se ocuparon del Salt Typhoon. En una declaración del senador Sherrod Brown, presidente del Comité de Banca, Vivienda y Asuntos Urbanos, el Departamento del Tesoro confirmó que el ataque ocurrió en diciembre.

En la carta, el departamento dijo que la violación fue reportada por un proveedor externo de ciberseguridad, BeyondTrust, que descubrió que los atacantes habían comprometido una clave utilizada para proteger un servicio basado en la nube. Este servicio fue parte integral de brindar soporte técnico remoto a los usuarios finales dentro de las oficinas de administración.

Velocidad de la luz triturable

“Al acceder a la clave robada, el actor de la amenaza pudo… [to] “Eludiendo la seguridad del servicio, obteniendo acceso remoto a las estaciones de trabajo de ciertos usuarios del Tesoro y accediendo a ciertos documentos no confidenciales mantenidos por esos usuarios”, decía la carta.

El Departamento del Tesoro reveló que fue alertado sobre la violación el 8 de diciembre y está cooperando con el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) para evaluar el alcance del incidente. Reuters informó que el FBI aún no ha respondido a las solicitudes de comentarios, mientras que la Agencia Canadiense de Inteligencia y Seguridad ha redirigido las consultas al Departamento del Tesoro.

Temas
ciberseguridad
gobierno

[ad_2]

Source Article Link

Tags China, confirma, Estados, fue, informáticos, piratas, pirateado, por, respaldados, Tesoro, Unidos

Life Style

Los piratas informáticos toman el control de las extensiones de Google Chrome en ciberataques

Post author By lisa nichols
Post date December 28, 2024
No Comments on Los piratas informáticos toman el control de las extensiones de Google Chrome en ciberataques

[ad_1]

Algunas empresas recibieron algo peor que un trozo de carbón de Papá Noel esta Navidad: piratas informáticos atacando sus extensiones de Chrome.

Los piratas informáticos secuestraron varias extensiones de Chrome la semana pasada, según un nuevo informe de Reuters. El ataque fue detectado por primera vez por una empresa de ciberseguridad. refugio cibernéticoLa cual fue una de las empresas afectadas por el hackeo.

En una publicación de blog de Cyberhaven, la compañía dice que el ciberataque insertó código malicioso en estas extensiones de Chrome en un intento de robar datos del usuario, como cookies y autenticación del navegador web. Parece que los piratas informáticos buscaban específicamente obtener acceso a cuentas publicitarias de redes sociales, específicamente cuentas de anuncios de Facebook, y credenciales de plataformas de inteligencia artificial.

Es posible que el tweet haya sido eliminado.

Según Cyberhaven, los piratas informáticos enviaron a los usuarios una versión actualizada de su extensión de Chrome con código malicioso en Nochebuena. La empresa se dio cuenta del hack el día de Navidad y lo solucionó inmediatamente en una hora. La empresa comenzó Informe Los usuarios fueron pirateados el viernes por la mañana con una notificación por correo electrónico.

Velocidad de la luz triturable

Otras extensiones de Chrome que se ha confirmado que inyectan código malicioso incluyen Internxt VPN, ParrotTalks, Uvoice y VPNCity. Cada una de estas extensiones de Chrome tiene decenas de miles de usuarios, según las estadísticas públicas de Chrome Web Store.

El ataque comenzó después de que los piratas Exitosamente Un empleado de Cyberhaven fue atacado mediante un correo electrónico de phishing enviado a los desarrolladores de extensiones de Chrome. El empleado pensó que el correo electrónico era un contacto oficial de Google, por lo que hizo clic en el correo electrónico e ingresó sus credenciales de inicio de sesión en la página de phishing.

Cyberhaven no cree que los atacantes estuvieran dirigidos a ninguna empresa específica, sino que enviaron una campaña de phishing masiva y luego hicieron un seguimiento de qué destinatario hace clic en ella.

En este momento, no está claro cuántos usuarios de estas extensiones de Chrome se ven afectados.

Temas
ciberseguridad
Google

[ad_2]

Source Article Link

Tags Chrome, ciberataques, control, extensiones, Google, informáticos, Las, Los, piratas, toman

Featured

Los piratas informáticos utilizan dominios rusos para lanzar sofisticados ataques de phishing basados en documentos

Post author By lisa nichols
Post date December 25, 2024
No Comments on Los piratas informáticos utilizan dominios rusos para lanzar sofisticados ataques de phishing basados en documentos

[ad_1]

Las tácticas de robo de datos se están desplazando hacia los dominios rusos
Los troyanos de acceso remoto experimentan un aumento del 59 % en los correos electrónicos de phishing
Los correos electrónicos maliciosos ahora evitan las puertas de enlace seguras cada 45 segundos

Una nueva investigación ha descubierto que ha habido un aumento significativo en la actividad de correo electrónico malicioso, así como un cambio en las estrategias de ataque.

De media, se omite al menos un correo electrónico malicioso Correo electrónico seguro Puertas (SEG), por ejemplo microsoft y Proofpoint, cada 45 segundos, un aumento significativo con respecto a la tasa del año anterior de uno cada 57 segundos, que fue el tercer trimestre de Cofense Intelligence. Informe de tendencias Espectáculo.

Ha habido un fuerte aumento en el uso de troyanos de acceso remoto (RAT) que permiten a los atacantes obtener acceso no autorizado al sistema de la víctima, lo que a menudo conduce al robo de datos o a una mayor explotación.

Aumento del uso de troyanos de acceso remoto (RAT).

Remcos RAT, una herramienta muy utilizada entre los ciberdelincuentes, es el principal motivo de la aparición de ataques RAT. Permite el control remoto de los sistemas infectados, lo que permite al atacante extraer datos y difundirlos más. malwarey obtenga acceso continuo a redes vulnerables.

Las redirecciones abiertas como táctica en campañas de phishing también están ganando importancia ya que el informe revela un aumento del 627% en su uso. Estos ataques aprovechan la funcionalidad de sitios web legítimos para redirigir a los usuarios a URL maliciosas, ocultando a menudo la amenaza subyacente detrás de dominios conocidos y confiables.

Tik Tok y Google AMP se utiliza a menudo para llevar a cabo estos ataques, aprovechando su alcance global y su uso frecuente por parte de personas desprevenidas.

El uso de documentos Office maliciosos, especialmente aquellos en formato .docx, se ha disparado casi un 600%. Estos documentos suelen contener enlaces de phishing o códigos QR que dirigen a las víctimas a sitios web maliciosos.

Los documentos de Microsoft Office siguen siendo un vector de ataque popular debido a su uso generalizado en entornos empresariales, lo que los hace ideales para dirigir campañas de phishing a organizaciones.

Además, hay un cambio significativo en los métodos de extracción de datos, con un mayor uso de dominios de nivel superior (TLD) .ru y .su. Los dominios que utilizan las extensiones .ru (Rusia) y .su (Unión Soviética) vieron su uso aumentar más de cuatro y doce veces, respectivamente, lo que sugiere que los ciberdelincuentes están recurriendo a dominios menos populares y relacionados geográficamente para evitar la detección y hacerlos más visibles. Difícil Se requiere que las víctimas y los equipos de seguridad realicen un seguimiento de las actividades de robo de datos.

También te puede gustar

[ad_2]

Source Article Link

Tags ataques, basados, documentos, dominios, informáticos, lanzar, Los, para, Phishing, piratas, rusos, sofisticados, utilizan

Featured

Los piratas informáticos engañan a las víctimas para que realicen ataques de phishing utilizando tutoriales, CAPTCHA y actualizaciones falsos

[ad_1]

La inteligencia artificial sigue desempeñando un doble papel en la ciberseguridad
Lumma Stealer aumentó un 1154%, marcando un nuevo pico para el malware
Los sistemas antiguos siguen siendo vulnerables al ransomware

Recientemente Informe de amenazas del tercer trimestre de 2024El General destaca tendencias preocupantes que revelan la creciente complejidad de las ciberamenazas, destacando que a medida que los ciberdelincuentes mejoran sus métodos, el doble papel de la IA se vuelve claro.

Si bien la IA se puede utilizar como arma para mejorar los ataques mediante la difusión de deepfakes realistas y campañas de phishing muy convincentes, las herramientas de IA también sirven como un mecanismo de defensa crucial.

A medida que las amenazas cibernéticas se vuelven más complejas y difíciles de detectar, la concientización y las medidas proactivas son esenciales para proteger la información confidencial.

Los ciberdelincuentes utilizan cada vez más técnicas de ingeniería social para engañar a millones de personas para que comprometan su seguridad. Trimestralmente, hubo un aumento del 614 % en los “ataques de suplantación de identidad” que utilizan la manipulación psicológica para engañar a las personas para que arreglen su información sin querer. malware En sus propios dispositivos.

Los atacantes utilizarán tutoriales falsos compartidos en plataformas populares como YouTube Que pretende proporcionar acceso gratuito a software pago y anima a los usuarios a seguir las instrucciones. Sin embargo, las víctimas descargan malware sin saberlo.

Otra táctica, conocida como ClickFix Scams, engaña a las víctimas ofreciéndoles soluciones técnicas falsas y luego ordenando a los usuarios que copien y peguen código malicioso en sus mensajes de comando, dando sin saberlo a los atacantes el control de sus sistemas.

Del mismo modo, han aparecido mensajes CAPTCHA falsos disfrazados de pasos de verificación estándar, lo que lleva a los usuarios a pegar códigos maliciosos en sus sistemas. Las actualizaciones falsas que se presentan como actualizaciones de software esenciales se envían a usuarios cargados con malware disfrazado para obtener privilegios administrativos una vez instalados.

El malware y el ransomware que roban datos experimentaron un aumento, con un aumento del 39 % en los robos de información. Por ejemplo, Lumma Stealer aumentó su actividad en un 1154%.

Los ataques de ransomware también aumentaron, con un aumento del 100% en el riesgo, y el ransomware Magniber impulsó estos ataques explotando software sin parches para obtener acceso. Sistemas antiguos como ventana 7sigue siendo particularmente vulnerable; sin embargo, Jane ha trabajado con los gobiernos para lanzar herramientas de descifrado gratuitas como Avast Mallox Ransomware Decryptor.

Los dispositivos móviles también han sufrido un aumento de los ataques de malware de robo de datos, que crecieron un 166% durante el tercer trimestre de 2024. Ha surgido una nueva cepa de software espía, NGate, capaz de clonar datos de tarjetas bancarias para retirar dinero o realizar transacciones no autorizadas. Mientras tanto, el malware bancario, como Rocinante, ha aumentado en un 60%, y están surgiendo nuevas cepas como TrickMo y Octo2.

En términos de entrega, los SMS maliciosos siguen siendo el principal método de entrega. La telemetría de Norton Genie muestra que el phishing (estafas por SMS) representó el 16,5 % de los ataques observados, seguido de las estafas de lotería (12 %) y los correos electrónicos/textos de phishing (9,6 %).

También te puede gustar

[ad_2]

Source Article Link

Tags Actualizaciones, ataques, CAPTCHA, engañan, falsos, informáticos, Las, Los, para, Phishing, piratas, realicen, tutoriales, utilizando, víctimas

Featured

BeyondTrust dice que los piratas informáticos atacaron sus productos de soporte remoto

Post author By lisa nichols
Post date December 20, 2024
No Comments on BeyondTrust dice que los piratas informáticos atacaron sus productos de soporte remoto

[ad_1]

BeyondTrust dice que detectó un ataque a principios de diciembre de 2024
Descubrió que algunas instancias de SaaS de soporte remoto se habían visto comprometidas
También encontré y solucioné dos errores de día cero.

BeyondTrust confirmó que sufrió recientemente un ciberataque tras detectar un “comportamiento anormal” en su red y revelar que algunas instancias SaaS de soporte remoto se habían visto comprometidas.

En un anuncio publicado en su sitio web, la compañía, que proporciona gestión de acceso privilegiado (PAM) y soluciones de acceso remoto seguro, dijo que una investigación posterior reveló que los actores de amenazas habían accedido a la clave API SaaS de soporte remoto, que utilizaron para restablecer el local. cuenta de la aplicación. Contraseñas.

“BeyondTrust revocó inmediatamente la clave API, notificó a los clientes afectados conocidos y suspendió esas instancias el mismo día mientras proporcionaba instancias SaaS de soporte remoto de reemplazo a esos clientes”, dijo la compañía en su anuncio.

No fue ransomware

La compañía dijo que encontró dos vulnerabilidades y las solucionó. Sin embargo, estas vulnerabilidades no parecen haber sido utilizadas en ataques.

Sin embargo, la investigación de BeyondTrust ha descubierto una vulnerabilidad crítica de inyección de comandos que afecta a los productos Remote Support (RS) y Privileged Remote Access (PRA). Esta falla se rastrea como CVE-2024-12356 y tiene una puntuación de gravedad de 9,8/10 (crítica).

La segunda falla es de gravedad moderada, con una puntuación de 6,6 y se rastrea como CVE-2024-12686. Permite a los atacantes con privilegios de administrador existentes inyectar y ejecutar comandos como usuario del sitio en acceso remoto privilegiado (PRA) y soporte remoto (RS).

Disponibilidad de casos nubes– Soluciones alojadas para soporte remoto seguro y escalable, que permiten a los profesionales de TI y centros de servicio acceder de forma remota y solucionar problemas de dispositivos o sistemas mientras se mantienen estrictos estándares de seguridad y cumplimiento. Los clientes típicos de BeyondTrust son grandes corporaciones, agencias gubernamentales, instituciones financieras, gigantes tecnológicos y similares.

La compañía no dijo si el ataque se había extendido a algún cliente de BeyondTrust, pero confirmó que había “completado de manera proactiva” una actualización para los clientes de Secure Remote Access Cloud, para reforzar sus defensas.

De momento se desconoce la naturaleza del ataque, pero la empresa lo ha confirmado. pitidocomputadora No fue un rescate.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags atacaron, BeyondTrust, dice, informáticos, Los, piratas, productos, remoto, soporte, sus

Featured

Es posible que los piratas informáticos hayan robado los datos de casi 1 millón de usuarios de ConnectOnCall

Post author By lisa nichols
Post date December 17, 2024
No Comments on Es posible que los piratas informáticos hayan robado los datos de casi 1 millón de usuarios de ConnectOnCall

[ad_1]

ConnectOnCall Healthcare ha sufrido una violación de datos
Se accedió a los datos de más de 900.000 pacientes durante un período de tres meses.
Esto deja a los pacientes en riesgo de robo de identidad.

La empresa de software Phreesia notificó a 914.138 personas cuya información personal y de salud quedó expuesta a través de una filtración de datos en mayo de 2023 después de utilizar su software ConnectOnCall, que proporciona comunicación fuera de horario entre pacientes y médicos.

Una investigación reveló que un tercero desconocido accedió a los datos de ConnectOnCall entre el 16 de febrero y el 12 de mayo de 20203, lo que significa que las comunicaciones confidenciales entre el proveedor y el paciente se vieron comprometidas, incluidos registros médicos, información de recetas, nombres completos y números de teléfono, con un “pequeño”. De los números de la Seguridad Social también se revelaron.

El incidente suspendió los servicios de ConnectOnCall hasta que el servicio pueda evaluarse y restablecerse por completo, y Phreesia está cooperando con las autoridades para determinar el impacto potencial.

Riesgos para los pacientes

ConnectOnCall ofrecía servicios de control de identidad y crédito, pero sólo a clientes cuyos números de Seguro Social fueron revelados. Para aquellos que no estaban cubiertos, La mejor protección contra el robo de identidad Podría ser de alguna ayuda.

Aunque todavía no hay evidencia de actividad maliciosa en relación con la violación, actores desconocidos que acceden a datos de salud siempre representan un riesgo significativo.

“ConnectOnCall permanece fuera de línea y estamos trabajando diligentemente para evaluar el impacto potencial y restaurar el servicio”, dice el comunicado de la compañía.

“Aunque ConnectOnCall no tiene conocimiento de ningún uso indebido de información personal o daño a los pacientes como resultado de este incidente, se alienta a las personas potencialmente afectadas a permanecer alerta e informar cualquier sospecha de robo de identidad o fraude a su plan de salud, compañía de seguros o institución financiera. ” “

La noticia es la última de una serie de… Violaciones de la atención sanitaria en 2024Los ciberdelincuentes se dirigen a la industria gracias a la naturaleza sensible de los datos almacenados y la naturaleza crítica del servicio prestado.

También te puede gustar

[ad_2]

Source Article Link

Tags casi, ConnectOnCall, datos, hayan, informáticos, Los, millón, piratas, posible, robado, usuarios

Featured

Los expertos advierten que las herramientas de seguridad de las VM de AMD se pueden eludir, lo que permite a los piratas informáticos infiltrarse en su hardware

[ad_1]

Investigadores universitarios encuentran una manera de engañar a la tecnología segura de VM de AMD para que comparta información confidencial
AMD ha emitido un aviso de seguridad con mitigaciones recomendadas
El error requiere acceso físico, pero en algunos escenarios se puede abusar de él únicamente mediante software.

AMD Las herramientas de seguridad de las máquinas virtuales (VM) se pueden eludir, lo que permite a los ciberdelincuentes infiltrarse en las máquinas y robar datos confidenciales, advirtieron los expertos.

Investigadores de seguridad de varias universidades de la UE y el Reino Unido explicaron cómo los chips AMD vienen con Secure Encrypted Virtualization (SEV), una característica de seguridad diseñada para cifrar maquina virtual (VM) para protegerlo del acceso no autorizado, incluso a través de un hipervisor u otras máquinas virtuales. SEV utiliza claves de cifrado basadas en hardware que son únicas para cada máquina virtual, lo que garantiza que los datos permanezcan confidenciales y resistentes a manipulaciones incluso en entornos compartidos.

AMD actualizó recientemente el SEV con Secure Nested Paging (SNP), una mejora que debería garantizar la integridad de la memoria de la máquina virtual al validar la validez de las tablas de páginas de la memoria y evitar modificaciones no autorizadas por parte del hipervisor. Sin embargo, los investigadores afirman que el SNP se puede eludir si el atacante tiene acceso físico al dispositivo objetivo. Usaron una Raspberry Pi Pico para “falsificar” RAM adicional y extraer secretos de ella. Lo llaman ataque BadRAM.

Ataques con y sin dispositivos

Al hacer un mal uso del chip de detección de presencia en serie (SPD) en el módulo de memoria, crearon alias para la memoria física, a la que podían acceder más tarde.

“En nuestros ataques, duplicamos el tamaño aparente del DIMM instalado en el sistema para engañar al controlador de memoria de la CPU para que utilice unidades de procesamiento 'ocultas' adicionales”, dijeron los investigadores en un artículo titulado BadRAM Entornos de ejecución confiables.

“Estos bits dentro del DIMM expandido nunca se usarán físicamente, lo que crea un efecto de alias interesante en el que dos direcciones físicas diferentes ahora apuntan a la misma ubicación de DRAM”.

Esta tecnología funciona con memorias DDR4 y DDR5, y también existe la posibilidad de utilizarla sin hardware, si dejas abierto el chip SPD (que, según Registro(Este es a veces el caso).

En respuesta, AMD emitió un aviso de seguridad y ahora está rastreando la falla con el nombre CVE-2024-21944. Tiene una puntuación de gravedad de 5,4 (moderada). Recomienda utilizar módulos de memoria que bloqueen SPD, además de seguir las mejores prácticas de seguridad física. Además, las versiones de firmware de AGESA y SEV que se enumeran a continuación se han lanzado a los fabricantes de equipos originales (OEM) para mitigar este problema. Consulte a su OEM para obtener una actualización del BIOS para su producto.

Se pueden encontrar más detalles aquí.

a través de Registro

También te puede gustar

[ad_2]

Source Article Link

Tags advierten, AMD, eludir, expertos, hardware, herramientas, infiltrarse, informáticos, Las, Los, permite, piratas, pueden, seguridad

Featured

Los piratas informáticos norcoreanos apuntan a Corea del Sur con vulnerabilidades de Internet Explorer para difundir el malware RokRAT

[ad_1]

Los ciudadanos surcoreanos estuvieron expuestos a malware sin un clic del Norte
El malware utilizó anuncios emergentes para instalar las cargas útiles.
También se instalan registradores de teclas y otro software de monitoreo malicioso.

El hacker ScarCruft, vinculado al estado norcoreano, llevó a cabo recientemente una campaña masiva de ciberespionaje utilizando una vulnerabilidad de día cero en Internet Explorer para difundir RokRAT. malwareadvirtieron los expertos.

El grupo, también conocido como APT37 o RedEyes, es un grupo de piratería patrocinado por el estado de Corea del Norte conocido por sus actividades de ciberespionaje.

Este grupo normalmente se centra en activistas de derechos humanos, desertores y entidades políticas de Corea del Sur en Europa.

Explotación de la vulnerabilidad de día cero de Internet Explorer

A lo largo de los años, ScarCruft se ha ganado la reputación de utilizar técnicas avanzadas como phishing, ataques a pozos de agua y explotar vulnerabilidades de día cero en el software para comprometer sistemas y robar información confidencial.

Su última campaña, denominada “Code on Toast”, fue revelada en un informe conjunto del Centro Nacional de Seguridad Cibernética (NCSC) de Corea del Sur y AhnLab (ASEC). Esta campaña utilizó un método único que incluía anuncios emergentes para generar infecciones de malware sin un clic.

El aspecto innovador de esta campaña radica en cómo ScarCruft utiliza notificaciones de brindis (pequeños anuncios emergentes mostrados por antivirus o programas de utilidad gratuitos) para difundir su malware.

ScarCruft pirateó el servidor de una agencia de publicidad local en Corea del Sur para publicar “anuncios Toast” maliciosos a través de un programa gratuito popular pero anónimo utilizado por muchos surcoreanos.

Estos anuncios maliciosos incluían un iframe especialmente diseñado que activaba un archivo JavaScript llamado “ad_toast”, que ejecutaba un exploit de día cero de Internet Explorer. Utilizando este método sin hacer clic, ScarCruft pudo infectar sistemas silenciosamente sin la intervención del usuario.

La vulnerabilidad de alta gravedad en Internet Explorer utilizada en este ataque se rastrea como CVE-2024-38178 Recibió una calificación de gravedad de 7,5. La falla reside en el archivo JScript9.dll de Internet Explorer, parte de su motor Chakra, y permite la ejecución remota de código si se explota. Aunque Internet Explorer se retirará oficialmente en 2022, muchos de sus componentes permanecen integrados en Windows o en software de terceros, lo que los convierte en objetivos propicios para la explotación.

El uso por parte de ScarCruft de la vulnerabilidad CVE-2024-38178 en esta campaña es particularmente preocupante porque es muy similar a un exploit anterior que utilizaron en 2022 para CVE-2022-41128. La única diferencia en el nuevo ataque es que hay tres líneas adicionales de código diseñadas para evitar microsoftParches de seguridad anteriores.

Una vez que se explota la vulnerabilidad, ScarCruft entrega el malware RokRAT a los sistemas infectados. RokRAT se utiliza principalmente para filtrar datos confidenciales con malware que apunta a archivos con extensiones específicas como .doc, .xls, .ppt, etc., enviándolos a la nube de Yandex cada 30 minutos. Además de la extracción de archivos, RokRAT tiene capacidades de monitoreo, que incluyen registro de teclas, monitoreo del portapapeles y captura de pantalla cada tres minutos.

El proceso de infección consta de cuatro etapas, y cada carga útil se inserta en el proceso “explorer.exe” para evitar la detección. Si se encuentran herramientas antivirus populares como Avast o Symantec en el sistema, el malware se inyectará en un archivo ejecutable aleatorio desde la carpeta C:\Windows\system32. La coherencia se mantiene colocando la carga útil final, “rubyw.exe”, en el inicio de Windows y programándola para que se ejecute cada cuatro minutos.

a través de pitidocomputadora

También te puede gustar

[ad_2]

Source Article Link

Tags apuntan, Con, Corea, del, difundir, Explorer, informáticos, Internet, Los, malware, norcoreanos, para, piratas, RokRAT, sur, vulnerabilidades

News

Los piratas informáticos utilizan la estafa de la cuenta suspendida de Netflix para robar información de los usuarios en muchos países

[ad_1]

Se dice que los piratas informáticos utilizan una campaña de phishing para decirles a los usuarios que su información es suya. netflix Su cuenta fue suspendida por inducirlos a visitar un sitio web malicioso que se utilizaba para robar su contraseña de Netflix e información bancaria. Según detalles compartidos por una empresa de seguridad, los delincuentes están utilizando un sentido de urgencia para instar a las personas a proporcionar su información de pago en sitios de phishing. Netflix actualmente no ofrece soporte de dos factores (2FAAutenticación, que añade una segunda capa de protección además de la contraseña del usuario.

Los datos robados de los usuarios de Netflix pueden terminar en la web oscura

Bitdefender recientemente ha sido identificado Una nueva estafa de phishing diseñada para convencer a los usuarios de que su cuenta de Netflix será suspendida debido a un pago fallido. Según la firma de seguridad, los piratas informáticos están utilizando la estafa para robar el nombre de usuario y la contraseña de Netflix de un usuario, al mismo tiempo que recopilan su información bancaria.

Los piratas informáticos guían a los usuarios a través del proceso de compartir su información bancaria y de inicio de sesión.
Crédito de la imagen: Bitdefender

Para atacar a los usuarios con la estafa de cuentas suspendidas de Netflix, los piratas informáticos envían a los usuarios un SMS diciéndoles que hay un problema al procesar sus pagos, pidiéndoles que inicien sesión y “confirmen” sus datos haciendo clic en un enlace. Los usuarios que hacen esto son dirigidos a un sitio de phishing.

Para convencer a los usuarios de que un sitio de phishing es legítimo, los piratas informáticos les piden que resuelvan un simple problema matemático para demostrar que no son un bot. Sin embargo, un vistazo rápido a la URL del sitio de phishing puede revelar que no está alojado en el dominio de Netflix (netflix.com).

Luego se solicita a los usuarios que ingresen su dirección de correo electrónico y contraseña en el sitio de phishing, que parece idéntico a la página de inicio de sesión oficial de Netflix. Los piratas informáticos obtienen acceso a las credenciales del usuario, dándoles acceso a su cuenta, ya que el servicio no ofrece ninguna forma de autenticación de dos factores.

Los datos de los usuarios de Netflix se venden por tan solo 2,99 dólares en la web oscura
Crédito de la imagen: Bitdefender

Luego, los piratas informáticos muestran a los usuarios una página que indica que sus cuentas están suspendidas temporalmente porque no se pueden cobrar sus pagos de capital. Luego se les solicita que ingresen el número de su tarjeta de crédito o débito y la fecha de vencimiento, así como su número CVV. Los piratas informáticos también ofrecen a los usuarios la opción de comprar tarjetas de regalo, que sólo están disponibles en algunos países.

Una vez que estos datos son robados, los piratas informáticos venden sus credenciales de Netflix y la información de su tarjeta de crédito en la web oscura. La compañía de seguridad también compartió capturas de pantalla de algunas de estas credenciales disponibles para su compra por $ 2,99 (aproximadamente Rs. 250), que los compradores pueden comprar utilizando criptomonedas.

Para mantener su información a salvo de los piratas informáticos, los usuarios solo deben confiar en los correos electrónicos enviados desde un dominio de Netflix.com (se entregan por correo electrónico, no por SMS) y es fácil verificar la información del remitente. Si los usuarios reciben un mensaje, pueden visitar el sitio web de Netflix escribiendo la URL netflix.com en la barra de direcciones y verificar su cuenta después de iniciar sesión.

[ad_2]

Source Article Link

Tags cuenta, estafa, información, informáticos, Los, muchos, Netflix, países, para, piratas, robar, suspendida, usuarios, utilizan