Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
julio
(Total:
115
)
-
IPtables: el firewall de Linux, funcionamiento y e...
-
El estado del ransomware en el sector educativo
-
Extensión de Google Chrome capaz de robar y espiar...
-
Detectadas nuevas apps maliciosas en Google Play d...
-
Elon Musk irá a juicio el próximo 17 de octubre tr...
-
Falso sitio de "Have I Been Pwned" para robar cred...
-
Proteger correctamente la seguridad de una Red WiFi
-
Hackean la calefacción de los asientos de los BMW
-
Estados Unidos ofrece 10 millones dólares por info...
-
Pasos a seguir si un PC se ha infectado por un ran...
-
Funciones avanzadas y trucos VLC Media Player
-
Rusia compite con China para endurecer la censura ...
-
Filtrado código fuente del malware roba billeteras...
-
El proyecto No More Ransom cumple 6 años
-
Grupo de ransomware LockBit hackea la Agencia Trib...
-
Una mujer se entera que tiene un tumor mortal grac...
-
Encuentran un Rootkit chino llamado CosmicStrand e...
-
Hackear ordenadores mediante cable SATA
-
Vulnerabilidad crítica en tiendas PrestaShop explo...
-
Autoservicio de McDonald's en Australia todavía us...
-
Vulnerabilidad crítica en el gestor de contenidos ...
-
A la venta en foro de internet los datos privados ...
-
FBI determinó que Huawei podría interrumpir las co...
-
Google despide al ingeniero que dijo que la IA ten...
-
Un robot rompe, sin querer, el dedo a un niño de s...
-
Mejores gestores de descargas para Windows
-
Apple llega a un acuerdo pagando 50 millones dólar...
-
Elon Musk vendió en secreto los Bitcoin de Tesla e...
-
T-Mobile acuerda pagar 350 millones $ a sus client...
-
De Mandrake a Mandriva: un paseo por la historia
-
El FBI recupera 500 mil dólares de pagos en cripto...
-
Expuestos los datos (e-mail y teléfono) de 5,4 mil...
-
Windows 11 bloquea por defecto los ataques de fuer...
-
Software espionaje de Candiru utilizó un reciente ...
-
Encuentran usuario y contraseña incrustado por def...
-
En Estados Unidos hackean surtidores para robar ga...
-
Google presenta el Pixel 6a por 459 €
-
Nintendo advierte de jugar a la Switch con mucho c...
-
Minecraft prohíbe los NFT y la tecnología blockchain
-
Amazon demanda a 10.000 administradores de grupos ...
-
Calavera de Terminator T-800 con IA gracias a una ...
-
Detenidas 25 personas por estafar medio millón de ...
-
Supuesta app de Android ‘pro-Ucrania’ para realiza...
-
Anatomía del ataque de ransomware Conti al gobiern...
-
La ola de calor en Reino Unido es tan fuerte que p...
-
Modus operandi del ransomware BlackCat
-
La red de mensajería Matrix ya cuenta con más de 6...
-
Sistema de verificación de SMS de Google
-
Vulnerabilidad en plugin WPBakery para WordPress e...
-
Albania sufre un ciberataque que bloquea sus servi...
-
Rusia multa a Google con 358 millones dólares por ...
-
Elon Musk asegura que sus coches eléctricos Tesla ...
-
Kalina: el láser ruso que deja ciegos a los satéli...
-
Estafados 8 millones de euros a Ayuntamientos , Ho...
-
Diferencia entre discos y unidades: NVMe, SATA, M....
-
Navegador Tor 11.5 ahora evita la censura en Inter...
-
¿Qué es el UASP o USB attached SCSI?
-
Pasos a seguir para recuperar una cuenta de Netfli...
-
Ex ingeniero de la CIA condenado por filtrar secre...
-
Nuevo malware de Android en la Google Play instala...
-
Tras 7 años, resucita el mayor tracker de Torrents...
-
El estado de Teams, una herramienta de espionaje a...
-
Microsoft advierte de una campaña masiva de Phishi...
-
La presidenta del Banco Central Europeo fue el obj...
-
Robo millonario a Axie Infinity comenzó con una fa...
-
La cadena de hoteles Marriott es hackeada por sext...
-
Arrestado por estafar mil millones dólares en hard...
-
China está censurando las noticias del robo de la ...
-
Bandai Namco confirma ser víctima de un ataque del...
-
Facebook bombardea a los enfermos de cáncer con pu...
-
Un juez de menores prohíbe hacer un cursillo de in...
-
Detenido en Barcelona un falso representante de Ga...
-
BMW y el uso abusivo del software como servicio
-
Guardia Civil España detiene la red que vació las ...
-
Presentan el teléfono Nothing Phone 1
-
Vídeos falsos de tenistas para descargar malware y...
-
Windows Autopatch ya está disponible
-
Calibre 6.0: la navaja suiza de libros electrónico...
-
Hackean coches Honda: pueden abrirlos y arrancarlo...
-
App's para Android de la Google Play Store con mal...
-
Cables SATA: tipos, diferencias y velocidades
-
El ISP francés La Poste Mobile víctima del ransomw...
-
Snapchat contrata al jefe de la inteligencia de EEUU
-
Italia multa a Xiaomi con 3,2 millones por violar ...
-
PyPI comienza a exigir 2FA en sus proyectos críticos
-
Microsoft revierte bloqueo por defecto de macros e...
-
Sigue estancada la compra de Twitter por parte de ...
-
Microsoft Pluton limita por hardware el software q...
-
Hackean las cuentas de Twitter y YouTube del Ejérc...
-
Nuevo grupo de ransomware: RedAlert ataca servidor...
-
IA en China permite leer la mente de miembros del ...
-
Penas de hasta 1 año de prisión en Japón para quié...
-
Cisco Packet Tracer 8
-
Black Basta es un nuevo y peligroso grupo de ranso...
-
¿Una ganga en internet? Cae una red que ha estafad...
-
Demandan a TikTok después de que dos niñas más mue...
-
Meta demanda a una empresa por robar 350.000 perfi...
-
Modo Aislamiento, la respuesta de Apple al espiona...
-
El tribunal británico demanda a Apple por 1.800 mi...
-
Drones submarinos para llevar 200kg de droga de Ma...
-
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre... -
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Encuentran un Rootkit chino llamado CosmicStrand en la BIOS/UEFI de placas base Gigabyte y Asus
Investigadores de seguridad de Kaspersky han analizado un rootkit de firmware UEFI que parece apuntar a modelos específicos de placas base de Gigabyte y Asus. Apodado CosmicStrand y probablemente desarrollado por un actor de amenazas desconocido, de habla china, el rootkit se encontró ubicado en las imágenes de firmware de las placas base Gigabyte y Asus que usan el chipset H81, esto se refiere al hardware antiguo entre 2013 y 2015 que en su mayoría está descontinuado en la actualidad.
Kaspersky cree que los cambios de firmware podrían haberse realizado con un parche automático, lo que implicaría que el atacante tuvo acceso físico a las placas base infectadas o usó un implante que ya se estaba ejecutando en las placas base.
Las imágenes de firmware infectadas contienen un controlador 'CSMCORE DXE', que facilita el arranque del sistema en modo heredado a través del MBR, que se parcheó con un código que se ejecuta al inicio del sistema para desencadenar una cadena de ejecución que conduce a la implementación de un implante a nivel de kernel. en Windows.
Un enlace malicioso configurado en el administrador de arranque permite que la amenaza modifique el cargador del kernel de Windows antes de que se ejecute, configure un segundo enlace llamado en una etapa posterior del proceso de inicio, controle el proceso de ejecución e inyecte un shellcode en la memoria. Luego, después de un período de suspensión, el malware obtiene la carga útil final.
Cadena de ejecución de CosmicStrands
Descripción general de la ejecución del malware CosmicStrand UEFI
fuente: Kaspersky
También se vio a CosmicStrand intentando desactivar el mecanismo de seguridad PatchGuard.
Una muestra del modo de usuario que los investigadores de Kaspersky encontraron en la memoria de una máquina infectada, y que probablemente esté vinculada con CosmicStrand, fue diseñada para ejecutar líneas de comando para crear una cuenta de usuario agregada al grupo de administradores locales.
Los investigadores identificaron dos variantes del rootkit, una utilizada entre finales de 2016 y mediados de 2017, y otra activa en 2020, cada una de ellas con su propio servidor de comando y control (C&C).
Las víctimas identificadas por Kaspersky también brindan pocas pistas sobre el autor de la amenaza y su objetivo, ya que los sistemas infectados identificados pertenecen a particulares en China, Irán, Vietnam y Rusia que no pueden vincularse a una organización o industria.
Víctimas de CosmicStrands en todo el mundo
La empresa china de ciberseguridad Qihoo 360 analizó una versión anterior del malware en 2017 después de que una persona se pusiera en contacto con ella y tuviera problemas para eliminar una pieza de malware altamente persistente. La empresa, que denominó al malware 'Spy Shadow Trojan', informó que la víctima había adquirido la placa base infectada, que anteriormente había sido propiedad de otra persona, en una tienda en línea.
Actores de amenaza de habla china han estado utilizando desde al menos 2016 malware que prácticamente pasa desapercibido en las imágenes del firmware de algunas placas base, una de las amenazas más persistentes comúnmente conocida como rootkit UEFI.
Los investigadores de la empresa de ciberseguridad Kaspersky lo llamaron CosmicStrand, pero los analistas de malware de Qihoo360 descubrieron una variante anterior de la amenaza, que la llamaron Spy Shadow Trojan.
No está claro cómo el actor de amenazas logró inyectar el rootkit en las imágenes de firmware de las máquinas objetivo, pero los investigadores encontraron el malware en máquinas con placas base ASUS y Gigabyte.
- El software Unified Extensible Firmware Interface (UEFI) es lo que conecta el sistema operativo de una computadora con el firmware del hardware subyacente.
- El código UEFI es el primero en ejecutarse durante la secuencia de arranque de un ordenador, antes que el sistema operativo y cualquier solución de seguridad disponibles.
- El malware implementado en una imagen del firmware UEFI no solo es difícil de identificar, sino que también es extremadamente persistente, ya que no se puede eliminar reinstalando el sistema operativo o reemplazando la unidad de almacenamiento.
Mark Lechtik, un ex ingeniero inverso de Kaspersky, ahora en Mandiant, que participó en la investigación, explica que las imágenes de firmware comprometidas venían con un controlador CSMCORE DXE modificado, que permite un proceso de arranque heredado.
Si bien la variante de CosmicStrand que Kaspersky descubrió es más reciente, los investigadores de Qihoo360 revelaron en 2017 los primeros detalles sobre una versión anterior del malware.
Kaspersky dice que el rootkit de firmware CosmicStrand UEFI puede persistir en el sistema durante toda la vida útil de la computadora y se ha utilizado en operaciones durante años, desde finales de 2016.
El malware UEFI se vuelve más común
El primer informe generalizado sobre un rootkit UEFI encontrado en la naturaleza, LoJax, llegó en 2018 de ESET y fue utilizado en ataques de piratas informáticos rusos en el grupo APT28 (también conocido como Sednit, Fancy Bear, Sofacy).
Casi cuatro años después, las cuentas de ataques de malware UEFI en la naturaleza se han vuelto más frecuentes, y no solo los piratas informáticos avanzados exploraron esta opción:
Supimos sobre MosaicRegressor de Kaspersky en 2020, aunque se usó en ataques en 2019 contra organizaciones no gubernamentales.
A fines de 2020, llegó la noticia de que los desarrolladores de TrickBot habían creado TrickBoot, un nuevo módulo que verificaba las máquinas comprometidas en busca de vulnerabilidades UEFI.
Otro rootkit UEFI fue revelado a fines de 2021 para ser desarrollado por Gamma Group como parte de su solución de vigilancia FinFisher.
El mismo año, surgieron detalles de ESET sobre otro bootkit llamado ESPecter, que se cree que se usa principalmente para espionaje y con orígenes que se remontan a 2012.
MoonBounce, considerado uno de los implantes de firmware UEFI más sofisticados, se reveló este año en enero como utilizado por Winnti, un grupo de piratas informáticos de habla china (también conocido como APT41).
Fuentes:
https://securelist.com/cosmicstrand-uefi-firmware-rootkit/106973/
https://www.securityweek.com/chinese-uefi-rootkit-found-gigabyte-and-asus-motherboards
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.