Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
- Tecnología de Intel permite actualizar la BIOS de ...
- La Universidad de Kioto en Japón pierde 77TB de da...
- Redline Stealer es un malware que roba las contras...
- ¿Qué es un dropper? (Malware)
- Fundador de Signal asegura que Telegram es incluso...
- Diferencias entre el cifrado BitLocker y EFS en Wi...
- Mejores programas para reparar, recuperar y ver in...
- TWRP Recovery para teléfonos Android
- Herramientas para realizar ataques Man‑in‑the‑Midd...
- Vulnerabilidad en Azure App Service expone reposit...
- Las 20 mejores herramientas de Hacking de 2021
- Procesadores Intel 12th Alder Lake para el chipset...
- Alertan de una importante Campaña Phishing vía SMS...
- Extensiones Visual Studio Code para programar en ...
- ¿Qué es una APU (CPU + GPU) y un SoC?
- Crean un algoritmo capaz de adivinar el 41% de las...
- DuckDuckGo, la alternativa al buscador Google basa...
- Instalar MacOS Big Sur en una máquina Virtual con ...
- Editores de imágenes de vídeo gratuitos y de códig...
- Desinstalar todas las aplicaciones no deseadas que...
- Reparar tarjeta memoria SD dañada o estropeada
- Instalar aplicaciones Android en Windows 11: WSATo...
- Hackean servidores HP con CPUs AMD EPYC para minar...
- Logrotate: administra los registros (logs) de tu s...
- Las mejores shells para GNU/Linux
- Glosario términos en Linux: vocabulario básico
- Windows 10 versión 21H2 añade protecciones mejorad...
- Instalar varios sistemas operativos autoarrancable...
- Vulnerabilidad test de antígenos permite falsifica...
- Actualización de seguridad importante servidor web...
- Graves vulnerabilidades plugin SEO instalado en má...
- Vulnerabilidades Directorio Activo permiten hackea...
- Ministerio de Defensa de Bélgica es el primer país...
- La memoria DDR5 es apenas un 3% más rápida que la ...
- Actualizaciones de Windows 11 solucionan problemas...
- Disponible distro Hacking WiFi Wifislax de origen ...
- DuckDuckGo prepara navegador web que protegerá la ...
- Amazon patenta una red de cámaras que reconcen a p...
- Los mitos más comunes en ciberseguridad
- Hospital de Asturias (España) afectado por un ataq...
- Cable USB llamado BusKill permite borrar automátic...
- El hackeo con Pegasus para iPhone es uno de los at...
- Resumen de todas las vulnerabilidades de Log4j
- Instalación LineageOS en teléfonos Android
- Gestores de Contraseñas para Android
- Guía SysAdmin para SELinux
- Los mejores gestores de contraseñas gratuitos
- Configurar servidor DLNA para reproducir música y ...
- Instalar Kali Linux en tu teléfono móvil con NetHu...
- pfetch, screenfetch o neofetch : mostrar informaci...
- La estafa del supuesto familiar con la ‘maleta ret...
- Microsoft y Dell prepararan portátiles más reparables
- Contenedores en Firefox para mejorar privacidad al...
- Windows Terminal será la línea de comandos por def...
- Identificada una segunda vulnerabilidad en Log4j q...
- Protocolo WebDav permite conectar unidad de red re...
- Apple publica Tracker Detect para evitar que los u...
- Volvo Cars informa una brecha de seguridad
- Consejos de Seguridad para servidores Linux
- Vulnerabilidad en millones chips de WiFi y Bluetoo...
- Ataque de ransomware Lapsus al Ministerio de Salud...
- Configurar una VPN con Wireguard
- Distribuciones Linux para portátiles antiguos con ...
- Juegos retro para teléfonos móviles Androd e iPhone
- Solucionada vulnerabilidad de seguridad de Western...
- Ladrones de coches están utilizando AirTags de App...
- Cómo activar la autenticación en dos pasos en Goog...
- Detenida en España por estafar al Athletic de Bilb...
- ALPHV BlackCat es el ransomware más sofisticado de...
- Google permitirá ejecutar juegos de Android en Win...
- Google y Microsoft trabajan juntos para mejorar el...
- Vulnerabilidad crítica en Apache Log4j bautizada c...
- Nueva oferta de Microsoft 365 para los usuarios pi...
- Nueva versión de Kali Linux 2021.4 que mejora el s...
- Evitar que tus mails rastreen tus datos personales...
- Cómo configurar la privacidad y seguridad en Signal
- Google demanda a 2 rusos responsables de la botnet...
- Bots se hacen pasar por personal de Twitter para r...
- Importante vulnerabilidad en Grafana: actualizació...
- Descubiertos instaladores KMSPico para activar Win...
- Eltima SDK contiene hasta 27 múltiples vulnerabili...
- Mozilla publica Firefox 95 con mejoras destacadas ...
- Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
- Freesync y G-Sync: tecnologías para monitores gami...
- Ansible permite automatizar tareas en distintos se...
- Syncthing es una herramienta gratuita multiplatafo...
- Curiosidades sobre el nuevo CEO de Twitter: 11.000...
- Filtros en Linux: pipes, tuberías: cut, sort, uniq...
- El auge del negocio de los ciberataques de denegac...
- ¿Qué son los (IoC) Indicadores de Compromiso?
- Teléfonos iPhone de empleados del Departamento de ...
- Mejores sistemas de rescate para recuperar fichero...
- Ciberataque denegación de servicio distribuido DDo...
- Hasta 9 routers de marcas muy conocidas acumulan u...
- Plantillas y archivos RTF de phishing contienen ma...
- Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
- Nueva versión IPFire mejora el rendimiento IPS e i...
- El perro robótico de Xiaomi usa Ubuntu de sistema ...
- WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
- Vulnerabilidad en impresoras HP tras 8 años afecta...
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Plantillas y archivos RTF de phishing contienen malware: activa protecciones en Office
3 grupos de APTs de India, Rusia y China están utilizando una nueva técnica de inyección de plantillas RTF (formato de texto enriquecido) en sus recientes campañas de phishing. Esta técnica es un método simple pero efectivo para recuperar contenido malicioso de una URL remota, y los analistas de amenazas esperan que llegue pronto a una audiencia más amplia de actores de amenazas. Investigadores de Proofpoint detectaron los primeros casos de inyección de plantillas RTF armadas en marzo de 2021 y, desde entonces, los actores han estado optimizando constantemente la técnica.
Un método simple para recuperar payloads
Los archivos con formato de texto enriquecido (RTF) son documentos creado por Microsoft que se puede abrir con Microsoft Word, WordPad y otras aplicaciones que se encuentran en casi todos los sistemas operativos.
Aunque ya se conocían métodos para descargar archivos través de las plantillas de Office alojadas de forma remota, ahora los ciertos atacantes están usando plantillas en archivos RTF abiertos con Word. Al crear archivos RTF, puede incluir una plantilla RTF que especifique cómo se debe formatear el texto del documento. Estas plantillas son archivos locales importados a un visor RTF antes de mostrar el contenido del archivo para formatearlo correctamente.
Si bien las plantillas RTF están destinadas a ser alojadas localmente, los actores de amenazas ahora están abusando de esta funcionalidad legítima para recuperar un recurso de URL en lugar de un recurso de archivo local.
Esta sustitución permite a los actores de amenazas agregar cargas útiles maliciosas en una aplicación como Microsoft Word o realizar la autenticación NTLM contra una URL remota para robar las credenciales de Windows. Además, como estos archivos se transfieren como plantillas RTF, es más probable que eviten los señuelos de detección de phishing, ya que inicialmente no están presentes en los archivos RTF.
Crear plantillas RTF remotas es muy simple, ya que todo lo que tiene que hacer
un actor de amenazas es agregar el comando {\*\template URL}
en
un archivo RTF usando un editor hexadecimal, como se muestra a continuación.
El método también es viable en archivos doc.rtf abiertos en Microsoft Word, lo que obliga a la aplicación a recuperar el recurso de la URL especificada antes de entregar el contenido a la víctima, como se muestra a continuación.
Proofpoint ha observado este método de recuperación de carga útil en campañas de phishing del grupo de hacking pro-indio DoNot Team, el grupo Gamaredon vinculado a Rusia y los actores de amenazas TA423.
Archivos RTF malignos
Los archivos RTF pueden analizar caracteres Unicode de 16 bits, por lo que los actores de amenazas han estado usando Unicode en lugar de cadenas de texto sin formato para el recurso de URL inyectado para evadir la detección. El analista de seguridad Rafa Pedrero ha publicado una descripción detallada de cómo decodificar este formato de URL dentro de los archivos de DoNot Team tras la aparición de una muestra.
Dado que las inyecciones de plantillas RTF se logran fácilmente con una herramienta de edición hexadecimal y los escáneres antivirus no las detectan con tanta frecuencia, los agentes de amenazas las utilizarán más ampliamente.
Para defenderse de esta amenaza, debes evitar descargar y abrir archivos RTF que lleguen a través de correos electrónicos no solicitados, escanearlos con un escáner AV y mantener actualizado Microsoft Office aplicando las últimas actualizaciones de seguridad disponibles.
Otro método de infección ficheros JS (JavaScript)
La infección comienza con un correo electrónico de phishing que contiene un archivo adjunto de JavaScript malicioso con una doble extensión '.TXT.js'. Como Windows oculta las extensiones de forma predeterminada, si un destinatario guarda el archivo en su computadora, aparecerá como un archivo de texto inofensivo.
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
- Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
- Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
- Para mostrar las extensiones de nombre de archivo, desactiva la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
Estos archivos de texto está muy ofuscado para evitar la detección por parte del software de seguridad y se decodificará cuando se haga doble clic en el archivo y se inicie.
Sin embargo, las puertas de enlace de correo electrónico detectarán el cargador si la organización ha habilitado el bloqueo de archivos adjuntos ejecutables, como archivos .JS, .EXE, .BAT, .COM.
Otra forma de detener el desarrollo de la cadena de infección es cambiar el controlador de archivos predeterminado para archivos JS, permitir que solo se ejecuten scripts firmados digitalmente o deshabilitar WSH (Windows Script Host).
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.