Tag: malware

Una investigación revela un malware que utiliza IA para ataques de ransomware

Investigadores de la Universidad de Nueva York han desarrollado un malware que utiliza inyecciones de prompts para manipular un modelo de lenguaje grande, facilitando así un ataque de ransomware. Este proyecto, denominado Ransomware 3.0, representa una nueva técnica de ataque que explota modelos de lenguajes para planificar y ejecutar ataques de ransomware de manera autónoma, generando código malicioso dinámicamente.

El auge de las ciberamenazas impulsadas por la IA

La investigación fue llevada a cabo por el equipo liderado por el profesor Ramesh Karri y financiada por varias entidades, incluyendo el Departamento de Energía de EE. UU. y la Fundación Nacional de Ciencias. Los resultados del proyecto fueron subidos a VirusTotal, donde fueron descubiertos por ESET, quienes inicialmente confirmaron que se trataba de un prototipo.

El malware, identificado como PromptLock, se caracteriza por su capacidad de generar variantes polimórficas de código, complicando su detección, ya que sus características cambian en cada ejecución. Según los investigadores, el sistema podría realizar labores de reconocimiento, generación de carga útil y extorsión personalizada de forma autónoma, sin intervención humana.

Las preocupaciones sobre el uso de modelos de lenguaje por cibercriminalesse han intensificado tras otros incidentes que evidencian la capacidad de estos modelos para ser aprovechados en ataques. Mientras tanto, el equipo de NYU ha decidido no publicar una serie de artefactos relacionados con el ransomware para evitar su uso malintencionado por parte de atacantes.

ESET ha actualizado sus hallazgos para reflejar la autoría académica del malware, a la vez que reafirmó que los hallazgos originales siguen siendo válidos y que este es el primer caso conocido de ransomware impulsado por inteligencia artificial. La afirmación de los investigadores de NYU, de que han demostrado un ataque de ransomware orquestado por un modelo de lenguaje cerrado, subraya la necesidad de una mayor atención en la seguridad de los modelos de IA.

Las extensiones maliciosas amenazan a los usuarios de Visual Studio Code

En los últimos días, se ha reportado que varias extensiones de Visual Studio Code están aprovechando una vulnerabilidad que permite la reutilización de nombres de paquetes que han sido eliminados. Este problema ha suscitado preocupaciones en la comunidad de desarrolladores, puesto que podría poner en riesgo la integridad de las herramientas utilizadas en el proceso de codificación.

La gran preocupación entre los desarrolladores

La vulnerabilidad surge en el registro de extensiones de Visual Studio Code, donde los nombres de paquetes eliminados pueden ser reutilizados por nuevos desarrolladores. Esto significa que una extensión maliciosa podría adoptar el nombre de una extensión legítima que previamente fue eliminada, lo que confunde a los usuarios y puede llevar a lainstalación accidental de software dañino.Al no contar con sistemas robustos de verificación de identidad de los paquetes, el entorno se convierte en un terreno fértil para la explotación.

Las extensiones de código pueden poseer permisos extensivos que permiten el acceso a archivos y datos del usuario. Esto representa un peligro considerable, ya que las extensiones malintencionadas pueden manipular o robar información sensible en el dispositivo del desarrollador. Los expertos están recomendando a los usuarios que sean cautelosos al instalar nuevas extensiones y que revisen cuidadosamente los desarrolladores detrás de cada paquete.

Hasta el momento, se desconoce la magnitud del problema y cuántos desarrolladores han sido afectados. No obstante, la comunidad está instando a Microsoft a implementar medidas que aborden esta vulnerabilidad de manera efectiva. Los usuarios de Visual Studio Code, que confían en esta potente herramienta de desarrollo, ahora deben permanecer alerta y ser proactivos en la protección de sus entornos de trabajo.

Este descubrimiento ha puesto de manifiesto la necesidad de una vigilancia constante dentro del ecosistema de aplicaciones y extensiones. En un entorno donde la seguridad cibernética es cada vez más crucial, tanto los desarrolladores como los usuarios deben permanecer atentos a las amenazas emergentes.

Esta campaña de phishing utiliza software RMM legítimo para engañar a las víctimas

Una nuevacampaña de phishing ha emergido, marcando un giro significativo en las tácticas utilizadas por los ciberdelincuentes. Según un informe de Abnormal AI, los atacantes están empleando software de acceso remoto legítimo (RMM) para atraer a sus víctimas, lo que representa una evolución alarmante en la forma en que se llevan a cabo estos fraudes digitales.

Las nuevas tácticas cada vez más sofisticadas

El uso de software RMM legítimo no solo pone en riesgo a los usuarios desprevenidos, sino que también dificulta la detección de estos ataques por parte de las plataformas de seguridad. La campaña ha sido diseñada específicamente para engañar a los usuarios mediante la oferta de programas que aparentan ser seguros y confiables. Esto provoca que las víctimas, al creer que están instalando una herramienta legítima, entreguen acceso a sus sistemas a los atacantes.

Este avance en los métodos de phishing resalta la creciente sofisticación de los ciberdelincuentes, quienes siempre están buscando nuevas formas de explotar la confianza de los usuarios. En lugar de los tradicionales emails sospechosos, esta campaña utiliza una estrategia que se presenta como legítima, lo que incrementa las probabilidades de éxito de los ataques. Los expertos sugieren que los usuarios deben estar cada vez más atentos a las señales de advertencia y a verificar la autenticidad de cualquier software que estén considerando descargar.

Aunque se trata de un fenómeno preocupante, algunos analistas creen que este tipo de ataques podría ser solo la punta del iceberg. Se especula que los ciberdelincuentes continuarán refinando sus tácticas en un esfuerzo por evadir las medidas de seguridad actuales. El incremento en la utilización de herramientas que parecen confiables subraya la importancia de la educación continua en ciberseguridad para los usuarios, así como la necesidad de que las empresas refuercen sus protocolos de defensa.

Un nuevo malware ataca a usuarios de macOS con anuncios engañosos

Un nuevo tipo de malware, conocido como una variante del Atomic macOS Stealer (AMOS), ha sido diseñado específicamente para robar información de usuarios de macOS, aprovechando la creciente popularidad de este sistema operativo. Este malware se difunde principalmente a través de una campaña de publicidad maliciosa que dirige a los usuarios a sitios de soporte falsos, donde se distribuye la amenaza.

Cuidado con la asistencia técnica

Los investigadores de seguridad han tenido conocimiento de este avance en las tácticas de ataque cibernético, que buscan engañar a los usuarios de Mac mediante anuncios que aparentan ser legítimos. Al hacer clic en estos anuncios, los usuarios son llevados a páginas que imitan a las de soporte técnico, donde se les puede pedir que descarguen software aparentemente inofensivo, pero que en realidad contiene el malware diseñado para robar datos sensibles, como credenciales de acceso y otra información personal.

La estrategia empleada en esta campaña no solo revela un nuevo enfoque en el uso de malware, sino que también destaca la vulnerabilidad de los usuarios de macOS frente a engaños diseñados para lucir legítimos. Estos ataques son particularmente preocupantes dado el creciente número de usuarios que confían en este sistema operativo para actividades cotidianas y profesionales. Con un enfoque en la ingeniería social, los atacantes buscan explotar la confianza que los usuarios tienen en servicios de soporte técnico aparentemente fiables.

La comunidad de ciberseguridad advierte a los usuarios de macOS que permanezcan alertas y verifiquen la autenticidad de los sitios en los que ingresan datos personales. Además, se les aconseja no descargar software de fuentes no oficiales. Este tipo de malware puede tener un impacto significativo no solo en los individuos afectados, sino también en la reputación de la plataforma macOS en su conjunto, llevando a una mayor necesidad de protección y concienciación entre los usuarios.

Un ataque de phishing utiliza la innovadora puerta trasera VShell para atacar en Linux

Investigadores en ciberseguridad han identificado una innovadora cadena de ataque que utiliza correos electrónicos de phishing para distribuir un backdoor de código abierto conocido como VShell, específicamente diseñado para sistemas Linux. Este malware es entregado a través de un archivo RAR malicioso, cuya ejecución no se basa en contenido oculto o macros, sino que está directamente codificado en el nombre del archivo.

La innovadora técnica de distribución de malware

La técnica empleada por los atacantes implica la inyección de comandos mediante nombres de archivos maliciosos. A través de un uso astuto de la inyección de comandos en shell y cargas útiles de Bash codificadas en Base64, el ataque convierte una operación trivial de listado de archivos en un desencadenador automático de ejecución de malware. Este enfoque contorneó las defensas tradicionales, ya que muchos antivirus no analizan los nombres de archivos, lo que permite que el software malicioso opere sin ser detectado.

El correo electrónico de phishing, disfrazado de invitación a una encuesta sobre productos de belleza, ofrece una recompensa monetaria, lo que distrae a los usuarios de la verdadera amenaza: el archivo adjunto malicioso. Al evaluar el nombre del archivo, se puede ejecutar código arbitrario, permitiendo que un binario ELF adicional sea descargado y ejecutado en el dispositivo afectado.

VShell, un herramienta de acceso remoto basada en Go, ha sido utilizada ampliamente por grupos de hackers en China, permitiendo el control total de sistemas Linux a través de comunicaciones encriptadas y operaciones de shell reversas. Además, se ha descubierto otra herramienta relacionada llamada RingReaper, que usa el marco io_uring del núcleo de Linux, lo que le permite eludir herramientas de monitoreo tradicionales y reducir la visibilidad de actividades maliciosas.

Este descubrimiento resalta una evolución peligrosa en la entrega de malware para Linux, donde un simple nombre de archivo puede ser utilizado para ejecutar comandos arbitrarios y, en última instancia, comprometer sistemas enteros.

Cuidado con los códigos QR, porque podrían servir para hackear tu móvil

Investigadores han descubierto recientemente dos métodos innovadores que están siendo utilizados por atacantes para realizar campañas de phishing a través de códigos QR. Estos métodos no solo son ingeniosos, sino que también presentan un nuevo desafío para la seguridad digital y la protección de datos personales.

Un nuevo método para introducir malware en tus dispositivos

La primera técnica revelada consiste en dividir códigos QR maliciosos en varias partes. Al fragmentar estos códigos, los atacantes logran evadir la detección por parte de software de seguridad que suele identificar códigos QR completos como potencialmente peligrosos. Este enfoque permite que los usuarios caigan en la trampa, ya que la fragmentación dificulta el análisis de seguridad, aumentando así el riesgo de que personas desprevenidas accedan a enlaces riesgoso.

La segunda técnica involucra la incrustación de códigos QR maliciosos dentro de códigos legítimos. Esta estrategia es especialmente insidiosa, ya que puede llevar a los usuarios a escanear un código que, a primera vista, parece seguro, pero que en realidad redirige a un sitio web diseñado para robar información personal o credenciales. La capacidad de ocultar el malware de manera efectiva dentro de un código legítimo complica los esfuerzos por identificar y neutralizar estos ataques, exponiendo a más usuarios a grandes peligros.

A medida que el uso de códigos QR se ha incrementado, especialmente tras la pandemia, estos métodos de phishing plantean una preocupación creciente entre los expertos en ciberseguridad. Es fundamental que los usuarios permanezcan alerta y se informen sobre las mejores prácticas para identificar y evitar estas amenazas, tales como verificar siempre la fuente antes de escanear un código QR, además de utilizar herramientas de seguridad de confianza.

Las investigaciones continúan para entender mejor estas nuevas amenazas y desarrollar soluciones eficaces que puedan proteger a los usuarios frente a este tipo de ataques emergentes.

Avast Free Antivirus DESCARGAR

Cuidado con los links de TikTok, porque podrían ser usados para robarte los datos

Investigadores de ciberseguridad han descubierto una amplia campaña maliciosa que está atacando a usuarios de TikTok Shop a nivel mundial, con el objetivo de robar credenciales y distribuir aplicaciones maliciosas. La firma de ciberseguridad CTM360 ha denominado a esta operación ClickTok, evidenciando cómo los actores de la amenaza están explotando la plataforma de comercio electrónico a través de una estrategia dual que combina phishing y malware.

Una estafa no muy sofisticada, pero muy efectiva

Más de 15,000 dominios que imitan URL legítimas de TikTok han sido identificados, muchos de ellos alojados en dominios de nivel superior como .top, .shop e .icu. Estos sitios falsos están diseñados para engañar a los usuarios, haciéndoles creer que están interactuando con la plataforma oficial o con afiliados legítimos. Las páginas de phishing atraen a los usuarios a depositar criptomonedas en tiendas fraudulentas, al ofrecer descuentos y productos inexistentes.

El corazón de esta campaña implica el uso de una aplicación maliciosa que contiene un malware conocido como SparkKitty. Este malware tiene la capacidad de recopilar datos de dispositivos Android e iOS, así como analizar carteras de criptomonedas. Los usuarios que descargan esta aplicación se ven llevados a introducir sus credenciales de inicio de sesión, solo para enfrentar fallos que los redirigen a un inicio de sesión alternativo a través de Google.

Además, se ha identificado otro tipo de phishing dirigido a usuarios de Meta Business Suite, mediante correos electrónicos falsos que alertan sobre violaciones de políticas. La U.S. Department of the Treasury’s Financial Crimes Enforcement Network ha instado a las instituciones financieras a permanecer alerta ante actividades sospechosas relacionadas con los quioscos de moneda virtual convertible, a medida que los delincuentes continúan aprovechando tecnologías innovadoras para llevar a cabo fraudes.

TikTok DESCARGAR

El nuevo troyano de Android infecta más de 11 000 dispositivos en todo el mundo

Investigadores de ciberseguridad han descubierto un nuevo troyano de acceso remoto para dispositivos Android llamado PlayPraetor que ha infectado a más de 11,000 dispositivos en varios países, con un enfoque especial en Europa y América Latina. Este malware ha mostrado un crecimiento explosivo, con más de 2,000 nuevas infecciones por semana, dirigido principalmente a hablantes de español y francés, lo que sugiere un cambio estratégico en su base de víctimas.

Fraude y robo de datos

PlayPraetor se destaca de otros troyanos por aprovechar los servicios de accesibilidad de Android para obtener control remoto completo sobre los dispositivos infectados. Los operadores del malware utilizan esta función para mostrar pantallas de inicio de sesión fraudulentas en más de 200 aplicaciones bancarias y de criptomonedas, lo que permite el robo de datos sensibles de los usuarios.

El troyano es parte de una operación global coordinada y utiliza un modelo de malware como servicio (MaaS). PlayPraetor se presenta en diversas variantes, cada una diseñadas para ejecutar diferentes tipos de fraudes. Sus métodos de distribución incluyen publicidad engañosa a través de anuncios en plataformas de redes sociales y SMS enviados a usuarios desprevenidos, llevándolos a dominios falsos que alojan aplicaciones maliciosas.

Además, PlayPraetor tiene la capacidad de monitorizar la actividad del portapapeles y registrar teclas, lo que le permite a los atacantes realizar acciones fraudulentas sin que la víctima se dé cuenta. La operación ha sido atribuida a actores de amenazas de habla china, y sus campañas se parecen a otras actividades delictivas recientes, como las perpetradas por el troyano ToxicPanda.

Los análisis de los investigadores resaltan que el panel de comando y control de PlayPraetor no solo facilita la interacción en tiempo real con los dispositivos infectados, sino que también permite la creación de páginas falsificadas del Google Play Store, amplificando su alcance. Con el crecimiento sostenido de este malware, la comunidad de ciberseguridad se mantiene alerta ante la evolución de estas amenazantes técnicas de fraude.

Un nuevo malware amenaza la seguridad de WordPress

Investigadores en ciberseguridad han revelado una grave vulnerabilidad en los sitios de WordPress, relacionada con una puerta trasera oculta en el directorio ‘mu-plugins’. Este tipo de plugins, denominados must-use, se activan automáticamente en todas las instalaciones de WordPress y no aparecen en la lista habitual de plugins, lo que los convierte en un objetivo atractivo para los atacantes.

Qué hacer para evitarlo

El script PHP malicioso, descubierto por la empresa de seguridad web Sucuri, actúa como un cargador que obtiene un payload remoto y lo almacena en la base de datos de WordPress. Este payload permite la ejecución de código PHP a distancia, facilitando un acceso persistente para los atacantes, quienes pueden gestionar archivos y reinstalar la infección si es eliminada.

El malware inyecta un usuario administrador oculto llamado ‘officialwp’, permitiendo a los atacantes controlar el sitio y realizar acciones maliciosas sin que otros administradores tengan conocimiento. Además, el código malicioso tiene la capacidad de cambiar las contraseñas de las cuentas administrativas a un valor predeterminado, bloqueando el acceso a otros administradores y garantizando un control total del sitio.

La amenaza se ve amplificada por la capacidad del malware de robar datos y redirigir a los visitantes a sitios fraudulentos, lo que repercute de manera significativa en la seguridad de la web. Según los expertos, esta puerta trasera permite a los atacantes realizar una variedad de acciones, desde la instalación de más malware hasta la desfiguración del sitio.

Para mitigar estos riesgos, los propietarios de sitios deben actualizar periódicamente WordPress, temas y plugins, utilizar la autenticación de dos factores y auditar regularmente todas las secciones del sitio, incluidos los archivos de temas y plugins. Mantener la seguridad es crucial para prevenir ataques que podrían comprometer la integridad y la confianza del sitio web.

Cuidado con las llamadas externas de Microsoft Teams, porque podrían ser malware

Investigadores en ciberseguridad han alertado sobre una nueva variante del conocido loader de malware, Matanbuchus, que ha evolucionado a una versión más avanzada, Matanbuchus 3.0. Esta nueva iteración presenta características mejoradas que le permiten evadir la detección con mayor eficacia, consolidándose como un servicio de malware (MaaS, por sus siglas en inglés) que puede actuar como canal para cargas útiles más sofisticadas, incluyendo ransomware.

Un problema que ya lleva tiempo dando coletazos

Inicialmente anunciado en foros de cibercriminalidad en febrero de 2021, Matanbuchus comenzó a ofrecerse por un precio de renta de $2,500 mensuales. Sin embargo, este costo ha aumentado considerablemente, alcanzando hasta $10,000 y $15,000 para las versiones HTTPS y DNS, respectivamente. A diferencia de otros loaders que suelen propagarse a través de correos electrónicos no deseados, Matanbuchus se despliega principalmente mediante tácticas de ingeniería social que engañan a los usuarios para que ejecuten scripts maliciosos.

La versión 3.0 del malware incorpora un protocolo de comunicación mejorado, capacidades en memoria y métodos de ofuscación avanzados. Además, soporta comandos de CMD y PowerShell, y es capaz de ejecutar cargas útiles en forma de DLL, EXE y shellcode. Una vez activado, recopila información del sistema y detecta la presencia de herramientas de seguridad para establecer tareas programadas que le permitan mantener su persistencia en el objetivo.

Recientemente, se observó un incidente en el que Matanbuchus fue empleado para manipular llamadas externas de Microsoft Teams, haciéndose pasar por un servicio técnico de TI, lo que llevó a los empleados a ejecutar un script de PowerShell que desplegaba el malware. Estos métodos organizados y dirigidos lo diferencian de los típicos loaders disponibles en el mercado, convirtiendo a Matanbuchus 3.0 en una amenaza relevante para las empresas y sus usuarios.

Microsoft Teams DESCARGAR