BackTrack Academy

En los equipos de seguridad más completos, la función del Purple Team es la de maximizar la efectividad del Red Team y el Blue Team a través del desarrollo de objetivos comunes, así como facilitar la comunicación entre ambos grupos.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻

☠️ 💻Las fuerzas del orden españolas han anunciado la detención de dos personas en relación con un ciberataque a la red de alerta de radiactividad (RAR) del país, que tuvo lugar entre marzo y junio de 2021.

Se dice que el acto de sabotaje desactivó más de un tercio de los sensores que mantiene la Dirección General de Protección Civil y Emergencias ( DGPCE ) y que se utilizan para monitorear los niveles excesivos de radiación en todo el país.

Hasta el momento se desconoce el motivo de los ataques.

"Los dos detenidos, extrabajadores, atacaron el sistema informático y provocaron que fallara la conexión de los sensores, reduciendo su capacidad de detección incluso en el entorno de las centrales nucleares", dijo la Policía Nacional.

La investigación policial, denominada Operación GAMMA, comenzó en junio de 2021 a raíz de un ataque perpetrado contra la red RAR, que es una malla de 800 sensores de detección de radiación gamma desplegados en varias partes del país para detectar aumentos repentinos en los niveles de radiactividad.

En un análisis post mortem compartido por la agencia, la intrusión tuvo dos vertientes, una que culminó con el acceso no autorizado al sistema informático del centro de control para eliminar una aplicación web utilizada para administrar el sistema RAR.

Un segundo componente del ataque involucró la selección de más de 300 sensores durante dos meses, "causando la falla de su conexión con el centro de control y reduciendo así la capacidad de detección de la red".

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

☠️ 💻Google dijo el miércoles que una vez más está retrasando sus planes para desactivar las cookies de terceros en el navegador web Chrome desde finales de 2023 hasta la segunda mitad de 2024.

"El comentario más consistente que hemos recibido es la necesidad de más tiempo para evaluar y probar las nuevas tecnologías de Privacy Sandbox antes de desaprobar las cookies de terceros en Chrome", dijo Anthony Chavez, vicepresidente de Privacy Sandbox .

Teniendo esto en cuenta, el gigante de Internet y la tecnología publicitaria dijo que está adoptando un "enfoque deliberado" y extendiendo la ventana de prueba para sus iniciativas en curso de Privacy Sandbox antes de eliminar gradualmente las cookies de terceros.

Privacy Sandbox es el término general de Google para un conjunto de tecnologías que tienen como objetivo mejorar la privacidad de los usuarios en la web y en Android al limitar el seguimiento entre sitios y entre aplicaciones y ofrecer alternativas mejoradas y más seguras para publicar anuncios basados ​​en intereses.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

#

Felipe Barrios, miembro de la comunidad, compartió con nosotros un artículo, donde nos explica un poco más a cerca del Red Team y las pruebas de penetración.

Encuentra el artículo completo en el enlace que te dejamos a continuación:
https://backtrackacademy.com/articulo/red-team-y-penetration-testing

Conviértete en un experto en Backtrackacademy.com

Hasta 207 sitios web han sido infectados con código malicioso diseñado para lanzar un minero de criptomonedas aprovechando WebAssembly (Wasm) en el navegador.

La empresa de seguridad web Sucuri, que publicó los detalles de la campaña, dijo que inició una investigación después de que la computadora de uno de sus clientes se ralentizara significativamente cada vez que navegaba a su propio portal de WordPress.

Esto descubrió un compromiso de un archivo de tema para inyectar código JavaScript malicioso desde un servidor remoto, hxxps://wm.bmwebm[.]org/auto.js, que se carga cada vez que se accede a la página del sitio web.

"Una vez decodificados, los contenidos de auto.js revelan inmediatamente la funcionalidad de un criptominero que comienza a minar cuando un visitante llega al sitio comprometido", dijo el investigador de malware de Sucuri, Cesar Anjos.

Además, el código auto.js desofuscado utiliza WebAssembly para ejecutar código binario de bajo nivel directamente en el navegador.

¿Qué hace un Blue Team?
Los Blue Team son equipos multidisciplinares compuestos por expertos en ciberseguridad especializados en analizar el comportamiento de los sistemas de una empresa.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻

☠️ 💻Microsoft ha reanudado oficialmente el bloqueo de macros de Visual Basic para aplicaciones (VBA) de forma predeterminada en todas las aplicaciones de Office, semanas después de anunciar temporalmente planes para revertir el cambio.

"Según nuestra revisión de los comentarios de los clientes, hemos realizado actualizaciones tanto en la documentación de nuestro usuario final como de nuestro administrador de TI para aclarar qué opciones tiene para diferentes escenarios", dijo la compañía en una actualización el 20 de julio.

A principios de febrero, Microsoft publicó sus planes para deshabilitar macros de forma predeterminada en aplicaciones de Office como Access, Excel, PowerPoint, Visio y Word como una forma de evitar que los actores de amenazas abusen de la función para distribuir malware.

Es un hecho conocido que la mayoría de los ataques cibernéticos dañinos actuales aprovechan los señuelos de phishing basados ​​en correo electrónico para difundir documentos falsos que contienen macros maliciosas como vector principal para el acceso inicial.

"Las macros pueden agregar mucha funcionalidad a Office, pero a menudo son utilizadas por personas con malas intenciones para distribuir malware a víctimas desprevenidas", señala la compañía en su documentación.

Al deshabilitar la opción de forma predeterminada para cualquier archivo de Office descargado de Internet o recibido como archivo adjunto de correo electrónico, la idea es eliminar toda una clase de vectores de ataque e interrumpir las actividades de malware como Emotet, IcedID, Qakbot y Bumblebee.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.

Encuentra el curso completo aquí: https://backtrackacademy.com/curso/inyeccion-sql

Conviértete en un experto en Backtrackacademy.com

☠️ 💻Un malware de Linux nunca antes visto ha sido denominado "navaja suiza" por su arquitectura modular y su capacidad para instalar rootkits.

Esta amenaza de Linux no detectada anteriormente, llamada Lightning Framework de Intezer, está equipada con una gran cantidad de características, lo que la convierte en uno de los marcos más complejos desarrollados para atacar los sistemas Linux.

"El marco tiene capacidades pasivas y activas para la comunicación con el actor de amenazas, incluida la apertura de SSH en una máquina infectada y una configuración de comando y control maleable polimórfica", dijo el investigador de Intezer Ryan Robinson en un nuevo informe publicado hoy.

El elemento central del malware es un descargador ("kbioset") y un módulo central ("kkdmflush"), el primero de los cuales está diseñado para recuperar al menos siete complementos diferentes de un servidor remoto que posteriormente son invocados por el componente central.

Además, el descargador también es responsable de establecer la persistencia del módulo principal del marco. "La función principal del módulo de descarga es buscar los otros componentes y ejecutar el módulo central", señaló Robinson.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Felipe Barrios, miembro de la comunidad, compartió con nosotros un artículo, donde nos explica paso a paso la instalación de Elasticsearch

Encuentra el artículo completo en el enlace que te dejamos a continuación: https://backtrackacademy.com/articulo/instalando-elasticsearch

Conviértete en un experto en Backtrackacademy.com

☠️ 💻Juniper Networks ha impulsado actualizaciones de seguridad para abordar varias vulnerabilidades que afectan a múltiples productos, algunas de las cuales podrían explotarse para tomar el control de los sistemas afectados.

Las fallas más críticas afectan a Junos Space y Contrail Networking, y la compañía de tecnología insta a los clientes a lanzar las versiones 22.1R1 y 21.4.0, respectivamente.

El principal de ellos es una colección de 31 errores en el software de administración de red Junos Space, incluido CVE-2021-23017 (puntuación CVSS: 9.4) que podría provocar la falla de dispositivos vulnerables o incluso lograr la ejecución de código arbitrario.

"Se identificó un problema de seguridad en la resolución de nginx, que podría permitir que un atacante que pueda falsificar paquetes UDP del servidor DNS provoque una sobrescritura de memoria de 1 byte, lo que provocaría un bloqueo del proceso de trabajo u otro impacto potencial", dijo la compañía.

La misma vulnerabilidad de seguridad también se ha corregido en Northstar Controller en las versiones 5.1.0 Service Pack 6 y 6.2.2.

Además, el fabricante de equipos de red advirtió sobre varios problemas conocidos existentes en CentOS 6.8 que se envió con Junos Space Policy Enforcer antes de la versión 22.1R1 . Como mitigaciones, la versión de CentOS empaquetada con el componente Policy Enforcer se actualizó a 7.9.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Obtén la base para resolver máquinas tipo boot2root que se encuentren en plataformas como TryHackMe o VulnHub, aprende el uso de algunas herramientas para el reconocimiento, explotación y cómo escalar privilegios.

Revisa el curso acá: https://backtrackacademy.com/curso/boot2root

Conviértete en un experto en Backtrackacademy.com

☠️ 💻 Las acciones de GitHub y las máquinas virtuales (VM) de Azure se están aprovechando para la minería de criptomonedas basada en la nube, lo que indica intentos sostenidos por parte de actores malintencionados de apuntar a los recursos de la nube con fines ilícitos.

"Los atacantes pueden abusar de los corredores o servidores proporcionados por GitHub para ejecutar las canalizaciones y la automatización de una organización descargando e instalando maliciosamente sus propios mineros de criptomonedas para obtener ganancias fácilmente", dijo Magno Logan, investigador de Trend Micro , en un informe la semana pasada.

GitHub Actions ( GHA ) es una plataforma de integración continua y entrega continua (CI/CD) que permite a los usuarios automatizar la canalización de desarrollo, prueba e implementación de software. Los desarrolladores pueden aprovechar la función para crear flujos de trabajo que construyan y prueben cada solicitud de extracción en un repositorio de código o implementen solicitudes de extracción fusionadas en producción.

Los ejecutores de Linux y Windows están alojados en máquinas virtuales Standard_DS2_v2 en Azure y vienen con dos vCPU y 7 GB de memoria.

La compañía japonesa dijo que identificó no menos de 1000 repositorios y más de 550 muestras de código que aprovechan la plataforma para extraer criptomonedas utilizando los corredores proporcionados por GitHub. El servicio de alojamiento de código propiedad de Microsoft ha sido notificado del problema.

Además, se encontraron 11 repositorios que albergan variantes similares de un script YAML que contiene comandos para extraer monedas Monero, todos los cuales se basaron en la misma billetera, lo que sugiere que es obra de un solo actor o de un grupo que trabaja en conjunto.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

☠️ 💻 Una campaña de phishing recientemente observada está aprovechando la vulnerabilidad de seguridad de Follina recientemente revelada para distribuir una puerta trasera no documentada anteriormente en los sistemas Windows.

"Rozena es un malware de puerta trasera que es capaz de inyectar una conexión de shell remota a la máquina del atacante", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en un informe esta semana.

Rastreada como CVE-2022-30190 , la vulnerabilidad de ejecución remota de código de Microsoft Windows Support Diagnostic Tool (MSDT) ahora parcheada ha sido objeto de una fuerte explotación en las últimas semanas desde que salió a la luz a fines de mayo de 2022.

El punto de partida de la última cadena de ataque observada por Fortinet es un documento de Office armado que, cuando se abre, se conecta a una URL de CDN de Discord para recuperar un archivo HTML (" index.htm ") que, a su vez, invoca la utilidad de diagnóstico mediante un Comando de PowerShell para descargar cargas útiles de la próxima etapa desde el mismo espacio adjunto de CDN.

Esto incluye el implante Rozena ("Word.exe") y un archivo por lotes ("cd.bat") que está diseñado para finalizar los procesos de MSDT, establecer la persistencia de la puerta trasera mediante la modificación del Registro de Windows y descargar un documento de Word inofensivo como señuelo. .

La función principal del malware es inyectar un código shell que lanza un shell inverso al host del atacante ("microsofto.duckdns[.]org"), lo que en última instancia le permite al atacante tomar el control del sistema necesario para monitorear y capturar información, al mismo tiempo que mantiene una puerta trasera al sistema comprometido.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

¿Qué significa equipo rojo?

Se denomina equipo rojo a un grupo independiente que ayuda a una organización a mejorarse a sí misma al oponerse al punto de vista de la organización a la que están ayudando. Por medio de la realización de ataques (siempre controlados) a un objetivo, se estudian sus debilidades.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻

☠️ 💻Investigadores de seguridad cibernética han revelado una nueva amenaza de Linux completamente no detectada denominada OrBit , que señala una tendencia creciente de ataques de malware dirigidos al popular sistema operativo.

El malware recibe su nombre de uno de los nombres de archivo que se utiliza para almacenar temporalmente la salida de los comandos ejecutados ("/tmp/.orbit"), según la firma de ciberseguridad Intezer.

"Se puede instalar con capacidades de persistencia o como un implante volátil", dijo la investigadora de seguridad Nicole Fishbein . "El malware implementa técnicas de evasión avanzadas y gana persistencia en la máquina al conectar funciones clave, brinda a los actores de amenazas capacidades de acceso remoto a través de SSH, recopila credenciales y registra comandos TTY".

OrBit es el cuarto malware de Linux que ha salido a la luz en un breve lapso de tres meses después de BPFDoor , Symbiote y Syslogk .

El malware también funciona de manera muy similar a Symbiote en el sentido de que está diseñado para infectar todos los procesos en ejecución en las máquinas comprometidas. Pero a diferencia de este último, que aprovecha la variable de entorno LD_PRELOAD para cargar el objeto compartido, OrBit emplea dos métodos diferentes.

"La primera forma es agregando el objeto compartido al archivo de configuración que usa el cargador", explicó Fishbein. "La segunda forma es parcheando el binario del propio cargador para que cargue el objeto compartido malicioso".

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Este curso te brindará los conocimientos para la comprensión del cómputo forense mediante casos prácticos a sistemas Windows, adquisición de evidencia de acuerdo a los estándares ISO/IEC 27037:2012

Ingresa al curso desde este link: https://backtrackacademy.com/curso/computo-forense-a-sistemas-windows

Conviértete en un experto en Backtrackacademy.com

Este curso de nuestro docente Juan Padilla te permitirá comprender el cómputo forense mediante casos prácticos y teoría, de acuerdo a los estándares internacionales relacionados de la serie ISO/IEC 27000,

Aprenderás los fundamentos del cómputo forense y obtendrás sólidos conocimientos para iniciarte en esta emocionante disciplina en el siguiente link: https://backtrackacademy.com/curso/introduccion-al-computo-forense

Conviértete en un experto en Backtrackacademy.com

José Moreno, miembro de la comunidad, compartió con nosotros un artículo, donde nos cuenta que recientemente en un pentest le tocó poner a prueba el estándar JWT, comúnmente utilizado para codificar cadenas de texto plano a base64.

Encuentra el artículo completo en el enlace que te dejamos a continuación:
https://backtrackacademy.com/articulo/jwt-pentest-101

Conviértete en un experto en Backtrackacademy.com

☠️ 💻La plataforma de coordinación de vulnerabilidades y recompensas por errores HackerOne reveló el viernes que un ex empleado de la empresa accedió indebidamente a los informes de seguridad que se le enviaron para beneficio personal.

"La persona reveló de forma anónima esta información de vulnerabilidad fuera de la plataforma HackerOne con el objetivo de reclamar recompensas adicionales", dijo . "En menos de 24 horas, trabajamos rápidamente para contener el incidente identificando al entonces empleado y cortando el acceso a los datos".

El empleado, que tuvo acceso a los sistemas HackerOne entre el 4 de abril y el 23 de junio de 2022, para evaluar las divulgaciones de vulnerabilidades asociadas con diferentes programas de clientes, fue despedido por la empresa con sede en San Francisco el 30 de junio.

Al calificar el incidente como una "clara violación" de sus valores, cultura, políticas y contratos de trabajo, HackerOne dijo que un cliente no identificado le alertó sobre la violación el 22 de junio y le pidió que "investigara una revelación de vulnerabilidad sospechosa" a través de un comunicación fuera de la plataforma de un individuo con el identificador "rzlr" utilizando un lenguaje "agresivo" e "intimidante".

Posteriormente, el análisis de los datos de registro internos utilizados para monitorear el acceso de los empleados a las revelaciones de los clientes rastreó la exposición a un infiltrado deshonesto, cuyo objetivo, señaló, era volver a enviar informes de vulnerabilidad duplicados a los mismos clientes que usaban la plataforma para recibir pagos monetarios.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Un puede ser un error de software, error o simplemente fallo es un problema en un programa de computador o sistema de software que desencadena un resultado indeseado. Los programas que ayudan a la detección y eliminación de errores de software son denominados depuradores.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻

Los ciberdelincuentes son cada vez más astutos y capaces de evadir los sistemas de defensa más sofisticados. En este curso Threat Hunting aprenderás a detectar y aislar amenazas avanzadas que puedan evadir sistemas de defensa.

Encuentra el curso completo en el enlace que te dejamos a continuación:
https://backtrackacademy.com/curso/threat-hunting

Conviértete en un experto en Backtrackacademy.com

☠️ 💻Shadow IT se refiere a la práctica de los usuarios que implementan recursos tecnológicos no autorizados para eludir su departamento de TI. Los usuarios pueden recurrir al uso de prácticas de TI en la sombra cuando sienten que las políticas de TI existentes son demasiado restrictivas o les impiden hacer su trabajo de manera efectiva.

Un fenómeno de la vieja escuela

Shadow IT no es nuevo. Ha habido innumerables ejemplos de uso generalizado de TI en la sombra a lo largo de los años. A principios de la década de 2000, por ejemplo, muchas organizaciones se mostraron reacias a adoptar Wi-Fi por temor a que pudiera socavar sus esfuerzos de seguridad. Sin embargo, los usuarios querían la comodidad del uso de dispositivos inalámbricos y, a menudo, implementaban puntos de acceso inalámbricos sin el conocimiento o consentimiento del departamento de TI.

Lo mismo sucedió cuando el iPad se hizo popular por primera vez. Los departamentos de TI prohibieron en gran medida el uso de iPads con datos comerciales debido a la incapacidad de aplicar configuraciones de políticas de grupo y otros controles de seguridad a los dispositivos. Aun así, los usuarios a menudo ignoraban la TI y usaban iPads de todos modos.

Por supuesto, los profesionales de TI eventualmente descubrieron cómo asegurar iPads y Wi-Fi y finalmente adoptaron la tecnología. Sin embargo, el uso de TI en la sombra no siempre tiene un final feliz. Los usuarios que se involucran en el uso de TI en la sombra pueden, sin saberlo, causar un daño irreparable a una organización.

Aun así, el problema del uso de TI en la sombra continúa hasta el día de hoy. En todo caso, el uso de TI en la sombra ha aumentado en los últimos años. En 2021, por ejemplo , Gartner descubrió que entre el 30 % y el 40 % de todo el gasto en TI (en una gran empresa) se destina a financiar la TI en la sombra.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

Las pruebas de penetración API REST son complejas debido a los continuos cambios en las API existentes y las API recién agregadas. Astra puede ser utilizado por ingenieros o desarrolladores de seguridad como parte integral de su proceso, para que puedan detectar y parchear vulnerabilidades al principio del ciclo de desarrollo.

Encuentra el artículo completo en el enlace que te dejamos a continuación:
https://backtrackacademy.com/articulo/automatizacion-de-seguridad-en-api-s-con-astra

Conviértete en un experto en Backtrackacademy.com

Este curso abordará de una forma práctica los pasos necesarios para instalar, configurar y probar un sistema de detección de intrusos que nos permita realizar detección de amenazas a nivel de un host.

Encuentra el curso en el link que te dejamos a continuación:
https://backtrackacademy.com/curso/Sistema-de-deteccion-de-intrusos-en-host

Conviértete en un experto en Backtrackacademy.com

☠️ 💻 Las entidades ubicadas en Afganistán, Malasia y Pakistán están en el punto de mira de una campaña de ataque que tiene como objetivo los servidores Microsoft Exchange sin parches como un vector de acceso inicial para implementar el malware ShadowPad.

La firma rusa de ciberseguridad Kaspersky, que detectó por primera vez la actividad a mediados de octubre de 2021, la atribuyó a un actor de amenazas de habla china previamente desconocido. Los objetivos incluyen organizaciones en los sectores de telecomunicaciones, manufactura y transporte.

"Durante los ataques iniciales, el grupo explotó una vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltró en los sistemas de automatización de edificios de una de las víctimas", dijo la compañía. "Al tomar el control de esos sistemas, el atacante puede llegar a otros sistemas aún más sensibles de la organización atacada".

ShadowPad , que surgió en 2015 como el sucesor de PlugX, es una plataforma de malware modular de venta privada que ha sido utilizada por muchos actores de espionaje chinos a lo largo de los años.

Si bien su diseño permite a los usuarios implementar de forma remota complementos adicionales que pueden ampliar su funcionalidad más allá de la recopilación de datos encubierta, lo que hace que ShadowPad sea peligroso es la técnica antiforense y antianálisis incorporada en el malware.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

En seguridad informática, una zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente en Internet.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻

☠️ 💻 Se detectó un grupo de amenazas vinculado a un grupo de piratas informáticos llamado Tropic Trooper utilizando un malware no documentado previamente codificado en lenguaje Nim para atacar objetivos como parte de una campaña recién descubierta.

El novedoso cargador, denominado Nimbda, está "incluido con una herramienta 'SMS Bomber' de software gris en idioma chino que probablemente se distribuya ilegalmente en la web de habla china.

"Quien haya creado el cargador Nim tuvo especial cuidado en darle el mismo ícono ejecutable que el SMS Bomber que lanza y ejecuta", dijeron los investigadores. "Por lo tanto, todo el paquete funciona como un binario troyano".

SMS Bomber, como su nombre lo indica, permite que un usuario ingrese un número de teléfono (que no es el suyo) para inundar el dispositivo de la víctima con mensajes y potencialmente dejarlo inutilizable en lo que es un ataque de denegación de servicio (DoS).

El hecho de que el binario se duplique como SMS Bomber y una puerta trasera sugiere que los ataques no solo están dirigidos a aquellos que son usuarios de la herramienta, un "objetivo bastante poco ortodoxo", sino también de naturaleza muy específica.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

☠️ 💻El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha advertido sobre un nuevo conjunto de ataques de phishing dirigido que explotan la falla "Follina" en el sistema operativo Windows para implementar malware que roba contraseñas.

Atribuyendo las intrusiones a un grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear o Sofacy), la agencia dijo que los ataques comienzan con un documento de señuelo titulado "Terrorismo nuclear: una amenaza muy real.rtf" que, cuando se abre, explota la reciente reveló una vulnerabilidad para descargar y ejecutar un malware llamado CredoMap.

Follina ( CVE-2022-30190 , puntuación CVSS: 7,8), que se refiere a un caso de ejecución remota de código que afecta a la herramienta de diagnóstico de soporte de Windows (MSDT), fue abordado por Microsoft el 14 de junio de 2022, como parte de sus actualizaciones del martes de parches .

Según un informe independiente publicado por Malwarebytes, CredoMap es una variante del ladrón de credenciales basado en .NET que Google Threat Analysis Group (TAG) divulgó el mes pasado como implementado contra usuarios en Ucrania.

El objetivo principal del malware es desviar datos, incluidas contraseñas y cookies guardadas, de varios navegadores populares como Google Chrome, Microsoft Edge y Mozilla Firefox.

Encuentra más noticias del mundo del hacking siguiendo el hashtag , y encuentra más contenido en Backtrackacademy.com

La cesión de datos es la comunicación de datos de carácter personal a una tercera
persona sin el consentimiento del interesado. La comunicación de este tipo de datos está regulada en el artículo 11 de la LOPD, mientras que la comunicación de datos entre Administraciones públicas se regula en el artículo 21 de dicha ley.

Conoce este y más términos relacionados con la ciberseguridad siguiendo nuestro hashtag e ingresando a BacktrackAcademy.com

👨‍💻