malware - Softonic Spain

Las suscripciones a calendarios son utilizadas para ataques de phishing

BitSight ha publicado un estudio que destaca una preocupante tendencia en el uso malicioso de las suscripciones a calendarios. Según la investigación, los actores de amenazas están utilizando estas funcionalidades para difundir enlaces de phishing, malware y llevar a cabo ataques de ingeniería social. Este nuevo vector de ataque aprovecha la creciente popularidad de aplicaciones de calendario y su integración en herramientas de trabajo colaborativo.

Señala esta fecha en el calendario

Los atacantes han descubierto que al enviar invitaciones a eventos o suscripciones a calendarios, pueden conseguir que sus mensajes sean más difíciles de detectar para los usuarios. Las suscripciones fraudulentas aparecen en las agendas digitales de las víctimas, lo que aumenta la probabilidad de que sean abiertos y, por ende, se acceda a enlaces maliciosos que llevan a sitios web de phishing o que descargan malware en los dispositivos. Esto representa un desafío significativo para la seguridad cibernética, ya que muchas víctimas pueden no cuestionar la legitimidad de una notificación que proviene de su calendario, pudiendo dar lugar a un acceso no autorizado a información sensible.

Una de las tácticas más comunes utilizadas por estos atacantes es el secuestro de dominios. Este proceso implica que los actores maliciosos toman el control de dominios legítimos que luego utilizan para enmascarar sus actividades delictivas. Una vez que hayan obtenido acceso a estos dominios, pueden crear suscripciones de calendario que vinculan a los usuarios a páginas maliciosas. De acuerdo con BitSight, esta técnica es especialmente eficaz porque combina la manipulación social con un método de entrega que tiene una presentación legítima.

Ante estas nuevas amenazas, es crucial que las organizaciones y los individuos adopten medidas preventivas. Esto incluye educar a los empleados sobre la identificación de inquietantes suscripciones a calendarios, así como implementar soluciones de seguridad más robustas para monitorear y bloquear posibles ataques. La vigilancia constante y la prevención son esenciales para mitigar los riesgos asociados con esta creciente técnica de ciberataque.

Una extensión maliciosa de Chrome redirige las plataformas de intercambio de criptomonedas

Un nuevo hallazgo en el ámbito de la ciberseguridad ha revelado la existencia de una extensión maliciosa en Chrome Web Store, denominada Crypto Copilot. Esta herramienta permite inyectar una transferencia oculta de Solana en las transacciones de intercambio, redirigiendo fondos hacia una billetera controlada por los atacantes, lo que plantea preocupaciones serias sobre la seguridad de los usuarios en el ecosistema de criptomonedas.

Cuidado si usas criptomonedas

La extensión, publicada por un usuario bajo el seudónimo ‘sjclark76’, ha conseguido 12 instalaciones y permanece disponible para su descarga. Según los investigadores de seguridad, Crypto Copilot presenta una fachada legítima al ofrecer a los usuarios la posibilidad de intercambiar cripto directamente en X con información en tiempo real y una ejecución sin problemas. Sin embargo, detrás de esta interface, se oculta un comportamiento malicioso que se activa al realizar intercambios en Raydium, un intercambio descentralizado basado en la blockchain de Solana.

El código de la extensión está ofuscado para evitar su detección y manipula el proceso al añadir una transferencia adicional de SOL cada vez que un usuario firma una transacción. Esta transferencia adicional cobra un mínimo de 0.0013 SOL o un 0.05% del monto intercambiado, siendo el dinero desviado a una billetera hardcodeada en el código de la extensión. Los usuarios pueden no darse cuenta de esta transferencia oculta a menos que revisen cada instrucción antes de firmar.

A pesar de que Crypto Copilot se presenta como una herramienta útil que hace uso de servicios legítimos como DexScreener y Helius RPC, su objetivo parece ser únicamente perpetuar fraudes a costa de incautos usuarios. Este tipo de ataques pone de manifiesto la necesidad de una vigilancia constante en el uso de herramientas digitales en el espacio de las criptomonedas.

Descubierto un nuevo malware para MacOS que ataca las credenciales de los usuarios

Recientes investigaciones han revelado la existencia de una nueva cadena de malware en macOS, atribuida al grupo conocido como FlexibleFerret. Esta sofisticada amenaza utiliza scripts en varias etapas y un ‘backdoor’ construido en Go para infiltrarse en los sistemas de los usuarios, con el objetivo específico de robar credenciales y mantener el acceso a sus dispositivos.

Amenazando al sistema más seguro

El malware implementa un enfoque en capas para evadir la detección, comenzando con scripts que preparan el terreno para la instalación del backdoor. Esta metodología permite a los atacantes establecer una conexión persistente con el sistema comprometido, facilitando el robo de datos sensibles, tales como nombres de usuario y contraseñas.

FlexibleFerret parece estar especialmente dirigido a usuarios de macOS, lo que pone de relieve la creciente preocupación por la seguridad de este sistema operativo. Tradicionalmente, los dispositivos Apple han sido considerados más seguros frente a malware en comparación con sus contrapartes de Windows, pero esta nueva amenaza desafía esa percepción. Con el crecimiento del trabajo remoto y la mayor dependencia de las plataformas digitales, el riesgo de sufrir un ataque como el de FlexibleFerret es más relevante que nunca.

Los expertos en ciberseguridad advierten que este tipo de malware subraya la importancia de mantener prácticas de seguridad robustas, incluida la implementación de autenticación de dos factores y la vigilancia activa de la actividad de cuentas sensibles. Además, se sugiere a los usuarios que mantengan sus sistemas actualizados y que utilicen software antivirus confiable para protegerse contra futuras amenazas.

Queda por ver hasta qué punto estas técnicas de ataque se expandirán y si los usuarios de macOS podrán resistir a la creciente marea de malware diseñado para comprometer sus sistemas y robar información personal. Mientras tanto, la comunidad de ciberseguridad continúa en alerta y trabajando para contrarrestar este y otros peligros emergentes.

Una red te ha estado redirigiendo a vídeos de YouTube con malware, y no lo sabías

Una red maliciosa de cuentas en YouTube, conocida como la Red Fantasma de YouTube, ha estado activa desde 2021, publicando y promoviendo más de 3,000 videos que llevan a descargas de malware. Según el informe de Check Point, el volumen de estos videos ha aumentado tres veces desde el inicio del año 2023, algunos de los cuales han acumulado entre 147,000 y 293,000 vistas, aprovechando la popularidad de contenido relacionado con software pirateado y trucos en juegos como Roblox.

No hagas click donde no estés seguro

Los atacantes han utilizado cuentas comprometidas para reemplazar su contenido original con videos maliciosos, sacrificando la confianza de los usuarios que buscan tutoriales o software gratuito. Esta estrategia se basa en manipular indicadores de confianza, como vistas, “me gusta” y comentarios, para hacer que el contenido malicioso parezca seguro. “Lo que parece un tutorial útil puede ser una trampa cibernética bien elaborada“, advirtió Eli Smadja, gerente del grupo de investigación de seguridad en Check Point.

Los mecanismos de distribución de malware de esta red han incluido servicios de almacenamiento legítimos como MediaFire y Dropbox, así como enlaces acortados que ocultan los destinos maliciosos. La mayoría de los enlaces llevan a páginas de phishing o a otras plataformas legítimas donde se alojan los archivos maliciosos. Entre las familias de malware que se están distribuyendo a través de esta red se incluyen Lumma Stealer, Rhadamanthys Stealer y RedLine Stealer, entre otros.

Los investigadores han señalado que estas operaciones son parte de una tendencia más amplia en la que los atacantes reutilizan plataformas legítimas para fines nefastos, facilitando así la difusión de malware. El uso de las características de la plataforma, como videos y descripciones, no solo maximiza el impacto de la campaña, sino que también permite mantener la continuidad operativa incluso cuando las cuentas son eliminadas por los propietarios de las plataformas.

Hackers de Corea del Norte descubren el modo de robar criptomonedas a través de la blockchain

Los hackers norcoreanos han desarrollado nuevas técnicas de ciberataque que comprometen la seguridad informática, según un reciente informe de Google. Estas tácticas, que emplean métodos sofisticados, representan una evolución preocupante en la forma en que los actores de amenazas llevan a cabo sus operaciones en el ciberespacio.

Tu dinero tampoco está seguro en la blockchain

Una de las estrategias más inquietantes identificadas es el uso de EtherHiding, una técnica basada en blockchain. Este método permite ocultar la entrega de malware mediante el uso de transacciones en Ethereum, lo que dificulta la detección por parte de los sistemas de seguridad. Al esconder el malware dentro del tráfico legítimo de blockchain, los atacantes pueden eludir medidas de protección convencionales y aumentar sus probabilidades de éxito.

El principal objetivo de estos ataques es el robo de criptomonedas de los usuarios. Utilizando esta técnica, los hackers aprovechan la creciente popularidad de las criptomonedas y la falta de experiencia de algunos usuarios en la seguridad digital. El malware, una vez entregado, puede robar información confidencial, como claves privadas y datos de acceso a billeteras digitales, facilitando así el acceso a los fondos de las víctimas.

Este hallazgo pone de relieve la necesidad urgente de que los usuarios de criptomonedas adopten medidas más estrictas de seguridad, como la autenticación de dos factores y la revisión periódica de sus actividades financieras. Mientras tanto, se recomienda a las plataformas de intercambio de criptomonedas estar alerta ante este tipo de amenazas y mejorar sus protocolos de seguridad para proteger a sus usuarios.

Si bien se ha confirmado que los hackers norcoreanos están utilizando estas técnicas avanzadas, se puede esperar que continúen adaptándose y evolucionando frente a las defensas cibernéticas. La comunidad de seguridad informática deberá mantenerse vigilante para contrarrestar esta nueva ola de ataques.

ChatGPT DESCARGAR

El grupo de ciberamenazas que utiliza contratos inteligentes para distribuir malware

Un grupo de amenazas cibernéticas conocido como UNC5142 ha sido observado utilizando contratos inteligentes en la blockchain para distribuir malware destinado a robar información, afectando tanto sistemas Windows como macOS. Entre los tipos de malware utilizados se encuentran Atomic, Lumma y Vidar. Este enfoque innovador, denominado EtherHiding, oculta el código malicioso en la BNB Smart Chain, lo que permite que sus actividades se mezclen con transacciones legítimas de Web3.

Miles de webs comprometidas

Según informes de la Google Threat Intelligence Group , alrededor de 14,000 páginas web comprometidas han sido señaladas por contener JavaScript malicioso, lo que ilustra su enfoque indiscriminado hacia sitios de WordPress vulnerables. UNC5142 utiliza sitios web comprometidos para inyectar este código, permitiendo que la distribución del malware se realice a través de un proceso de múltiples etapas. Un componente clave es el descargador de JavaScript llamado CLEARSHORT, que facilita la entrega del malwarea través de sitios infectados.

Desde noviembre de 2024, UNC5142 ha evolucionado de un sistema de contrato único a una estrategia más compleja que involucra tres contratos inteligentes, mejorando así la agilidad operativa de sus campañas. Esta arquitectura se asemeja a un principio de diseño de software conocido como patrón proxy, permitiendo actualizaciones rápidas en partes críticas del ataque sin necesidad de modificar el JavaScript en los sitios comprometidos.

Estos contratos inteligentes permiten a UNC5142 adaptar la URL del payload. Además, el análisis ha revelado dos infraestructuras distintas de contratos inteligentes que facilitan la distribución del malware, evidenciando su capacidad de adaptarse y mantener la resiliencia de sus operaciones.

Estos métodos sofisticados no solo aumentan el riesgo para los usuarios de Internet, sino que también dificultan la detección y eliminación de sus actividades maliciosas. A pesar de que Google no ha detectado actividad de UNC5142 desde julio de 2025, esto podría indicar una pausa en sus acciones o un cambio en su estrategia operativa.

Autoridades españolas arrestan al líder de un grupo de ciberdelincuencia

Las autoridades españolas han detenido a un hombre de 25 años acusado de liderar el GXC Team, un grupo que supuestamente se dedica a la distribución de software malicioso y herramientas de inteligencia artificial a otros cibercriminales. Este operativo resalta la creciente preocupación sobre la ciberseguridad y la actividad del crimen cibernético en Europa, especialmente a medida que las técnicas de hacking se vuelven más sofisticadas.

Grupos cada vez más habituales

El arresto, realizado en colaboración con agencias de ciberseguridad europeas, pone de manifiesto el esfuerzo concertado para abordar las amenazas emergentes en el ámbito digital. El GXC Team ha sido mencionado en varias investigaciones por su presunta implicación en ataques informáticos que han afectado tanto a empresas como a individuos en varios países. Las autoridades sospechan que el detenido no solo producían malware, sino que también ofrecían sus servicios a la venta, lo que ha ampliado el alcance de su criminalidad a un nivel preocupante.

La detención de esta figura clave en el GXC Team llega en un momento en que las infracciones cibernéticas están en aumento, aumentando la vulnerabilidad de sistemas en infraestructuras críticas y empresas de todas las industrias. En este contexto, las medidas de seguridad se han intensificado, y la cooperación internacional está empezando a mostrar resultados en la lucha contra el cibercrimen.

Aunque el detenido es solo un eslabón en la cadena del crimen cibernético, su captura podría desarticular parte de la red que ha estado operando en la sombra del internet. Ahora, las autoridades investigan más sobre las conexiones del GXC Team y la posible participación de otras personas involucradas en esta actividad ilícita. Los expertos advierten que la batalla contra el cibercrimen está lejos de terminar, sugiriendo que las estructuras delictivas pueden adaptarse y evolucionar rápidamente.

ProSpy y ToSpy: las últimas amenazas de spyware disfrazadas de aplicaciones de mensajería

Investigadores del ESET han descubierto recientemente dos familias de spyware, identificadas como ProSpy y ToSpy, que se hacen pasar por aplicaciones de mensajería populares, Signal y ToTok, dirigidas aparentemente a los residentes de los Emiratos Árabes Unidos. Los expertos revelaron que estas campañas de malware fueron detectadas en junio, aunque se cree que datan de principios del año pasado.

Mucho cuidado con lo que instalas en tu móvil

ToTok, que había sido ampliamente criticada por ser una herramienta de espionaje del gobierno de los EAU, fue descontinuada en 2020 tras una investigación del New York Times. Sin embargo, el spyware se presenta como una versión mejorada de dicha aplicación, denominada ToTok Pro. Al descargar este malware, se solicitan permisos para acceder a los contactos, mensajes de texto y archivos almacenados, permitiendo la filtración de información sensible, incluidos datos del dispositivo y contenido multimedia.

Es relevante señalar que las aplicaciones infectadas no estaban disponibles en las tiendas de aplicaciones oficiales. En su lugar, se requería la instalación manual desde sitios de terceros que simulaban servicios legítimos. Por ejemplo, uno de estos sitios maliciosos imitaba el Galaxy Store de Samsung, induciendo a los usuarios a instalar versiones fraudulentas de la aplicación ToTok.

Las detecciones confirmadas de este spyware en los EAU, junto con la utilización de técnicas de phishing y tiendas de aplicaciones falsas, sugieren que los atacantes están llevando a cabo operativos estratégicos centrados en esta región. No es la primera vez que se aprecia un fenómeno similar, ya que en el pasado, ESET ha documentado el encubrimiento de malware en actualizaciones falsas de aplicaciones como WhatsApp y en sitios que fingen ofrecer Telegram.

Según la investigación de ESET, dado que la popularidad de la aplicación ToTok estaba concentrada en los EAU y considerando las tácticas de suplantación utilizadas, es razonable pensar que los usuarios de esta región son el principal objetivo de las campañas de spyware.

Este juego de Steam ha expuesto a sus jugadores a malware y les ha llevado a perder dinero

El título ‘Block Blasters’, lanzado en Steam, ha tomado un giro oscuro al descubrirse que contenía malware que comprometía la seguridad de los usuarios. Este juego, que fue presentado como un producto normal a finales de julio, resultó ser una trampa encubierta que infectaba los ordenadores de quienes lo instalaban, accediendo a billeteras de criptomonedas y cookies de navegador.

Comprometida la seguridad de miles de usuarios

Las consecuencias han sido devastadoras para algunos de los afectados. El streamer conocido como rastalandTV, que actualmente enfrenta un tratamiento de cáncer en estadio 4, ha perdido más de 30,000 dólares debido a este ataque. Su situación financiera, ya de por sí delicada, se ha visto aún más comprometida tras la tragedia digital, ya que recaudaba fondos a través de sus emisiones en busca de apoyo para su tratamiento.

La comunidad gamer ha reaccionado con preocupación ante este incidente, destacando las deficiencias en los controles de calidad de Steam. Aunque Valve eliminó ‘Block Blasters’ más de un mes después de su lanzamiento, muchos usuarios ya habían sido afectados antes de que se tomaran medidas. Esta situación ha generado una ola de críticas sobre la supervisión que la plataforma ejerce sobre los títulos que se publican constantemente. Con tantos juegos nuevos lanzándose, resulta complicado vetar productos como este que contienen intenciones maliciosas.

Algunos investigadores han resaltado la gravedad del problema y los robos que se han estado produciendo, instando a una revisión profunda de los protocolos de seguridad de Steam. A medida que la preocupación por la seguridad digital continúa creciendo, este incidente subraya la necesidad de aumentar la vigilancia sobre el contenido que se ofrece en estas plataformas.

Los ciberdelincuentes explotan las herramientas de acceso remoto para comprometer la seguridad

Recientemente, se ha observado un aumento en las actividades de grupos de individuos que utilizan estrategias maliciosas para comprometer la seguridad de los sistemas informáticos de los usuarios. Estos actores de amenazas emplean diversas tácticas para engañar a las personas, lo que ha llevado a un incremento significativo en la instalación de herramientas de acceso remoto sin autorización. Estas herramientas, aunque se diseñan para facilitar el control y la administración de sistemas a distancia, pueden ser utilizadas de forma maliciosa por los atacantes para acceder a información sensible o tomar control de dispositivos.

El peligro de trabajar desde casa

Los métodos más comunes para atraer a los usuarios hacia la instalación de software RMM incluyen la suplantación de identidad y la aparición de ofertas engañosas. Algunos ciberdelincuentes utilizan correos electrónicos que aparentan ser comunicados oficiales de empresas reconocidas, mientras que otros pueden crear anuncios que prometen soluciones gratuitas o descuentos significativos en productos tecnológicos. Estas tácticas buscan explotar la curiosidad o la necesidad del usuario, llevándolo a ejecutar programas que comprometen su seguridad.

Además, es importante destacar que la proliferación de estos métodos también se ha visto fomentada por la creciente dependencia de los usuarios en tecnologías digitales durante la pandemia. Con más personas trabajando desde casa, muchos desconocen los peligros asociados al software que permiten el acceso remoto. La instalación involuntaria de estas herramientas puede llevar a intrusiones serias, comprometiendo tanto datos personales como información corporativa.

Los expertos en ciberseguridad advierten que siempre es recomendable verificar la autenticidad de cualquier software que se desee instalar y desconfiar de propuestas que parezcan demasiado buenas para ser verdad. La prevención se convierte en la primera línea de defensa contra estas amenazas emergentes que, lamentablemente, continúan en aumento.