Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1035
)
- ► septiembre (Total: 50 )
-
▼
mayo
(Total:
118
)
- Vulnerabilidad Zero-Day en Check Point VPN explota...
- La Operación Endgame de la Europol ha permitido de...
- Hackean a la DGT y ponen a la venta todos los dato...
- A la venta los datos de 500 millones usuarios de T...
- Millones de datos robados durante el último ataque...
- Un clon del Buscaminas de Microsoft con malware, u...
- La madre de todas las filtraciones de Google revel...
- Elon Musk advierte de que WhatsApp recibe datos de...
- Desmantelan una de las botnets más grandes del mun...
- El mayor vendedor de trampas de ‘Call of Duty’ ten...
- Los trabajadores de Samsung realizarán la primera ...
- Iberdrola sufre un ciberataque que ha dejado expue...
- Microsoft tiene un bot de Copilot para Telegram
- La Policía española ya usa en sus investigaciones ...
- NetBSD prohíbe el código generador por IA
- Telefónica investiga filtración de datos que afect...
- YouTube te lleva al final del vídeos si tienes un ...
- Los POCO F6 y F6 Pro llegan con Snapdragon 8s Gen ...
- Ataques de ransomware explotan patrones vulnerabil...
- YARA-X: la nueva era de la detección de malware, e...
- Google hacking: averigua cuánta información sobre ...
- Diferencias interfaz unidades disco SATA y SAS
- Estados Unidos da luz verde a los fondos cotizados...
- Humanos mal pagados detrás de la IA piden a Biden ...
- La IA de Google afirma que un perro ha jugado en l...
- Una caída en Bing deja sin funcionar a Microsoft C...
- Culo, brg (braga), flda (falda)..., los archivos d...
- La increíble historia del origen de Xi Jinping
- Microsoft detalla las opciones de Recall en Window...
- Truecaller lanza una función que duplica tu voz co...
- Desinstalar todo el bloatware en Android
- Amazon Web Services (AWS) invertirá 15.700 millone...
- Fastfetch
- La Policía detiene de nuevo a Alcasec
- TSMC y ASML pueden desactivar sus máquinas remotam...
- Actualizaciones de seguridad críticas en Git
- El Explorador de Archivos de Windows soportará con...
- Uno de los líderes de seguridad de OpenAI abandona...
- Grandoreiro, el troyano bancario, vuelve más fuert...
- Vulnerabilidad crítica en plugin WP-Automatic
- Vulnerabilidad en Foxit PDF Reader permite infecta...
- Acusan a OpenAI de copiar la voz de Scarlett Johan...
- Recall, el explorador de IA para Windows 11
- Google soluciona otro 0-day en Chrome para resolve...
- Una nueva vulnerabilidad Wi-Fi permite espiar la r...
- Logran ejecutar Windows 11 en una Nintendo Switch
- WhatsApp, Candy Crush e Instagram, las apps que má...
- Google presenta Wear OS 5, el sistema operativo pa...
- Intel N250 es la nueva CPU para portátiles básicos
- La Unión Europea abre una nueva investigación a In...
- Estados Unidos acusa a dos hermanos que estudiaron...
- Las Google Glass reviven gracias a la inteligencia...
- Un ciberataque confunde a los coches autónomos y l...
- Apple permitirá controlar un iPhone o iPad solo co...
- AMD Zen 5 requerirá Windows 11, sin soporte en Win...
- Google anuncia novedades relacionadas con la segur...
- El FBI cierra el foro de BreachForums utilizado pa...
- Google usará la IA para detectar aplicaciones frau...
- El plan de Netflix con anuncios tiene 40 millones ...
- Toshiba tendrá discos duros HDD con más de 30 TB u...
- Procesadores Intel Arrow Lake-S
- Intel presenta Thunderbolt Share, la forma más fác...
- Hackean la web de la Junta de Andalucía
- VMware Workstation Pro y Fusion Pro, ahora totalme...
- Estados Unidos va a subir los aranceles a producto...
- Google avanza Project Astra, su visión para la IA ...
- Banco Santander sufre un ciberataque a su base de ...
- Google borró accidentalmente la cuenta en la nube ...
- El porno llega a ChatGPT y DALL-E
- OpenAI lanza GPT-4o, un modelo más rápido y con me...
- Claude, el rival de ChatGPT, ya está disponible en...
- Word mejora el pegar texto con "Fusionar formato" ...
- Wire, Proton y Apple ayudan a identificar a sospec...
- Convierte una Raspberry Pi RP2040 en un Flipper Zero
- Intel alardea de que su superordenador Aurora es e...
- Samsung prepara SSD de 1.000TB (1 PetaByte) gracia...
- Intel está desarrollando su propia controladora PC...
- Electronic Arts comienza a probar la implementació...
- Se hacía llamar Muscle Nerd, hackeó el iPad en men...
- El operador móvil chileno WOM expone un millón de ...
- iOS 18 tendrá ChatGPT integrado: Apple cierra un a...
- Difrerencias entre USB4 y USB 3
- Roban 49 millones de registros de DELL a través de...
- La filtración de datos de una empresa de reconocim...
- LockBit pidió de rescate 200 millones de dólares a...
- Microsoft firma acuerdo de energía renovable para ...
- Reinstala todos los programas en Windows gratis gr...
- Ingeniera de software lleva 2 años con más de 7.40...
- Detienen a un influencer chino con 4.600 móviles e...
- OpenAI anuncia una herramienta capaz de detectar i...
- BitLocker en Windows 11, ¿activado por defecto??
- Bitwarden Authenticator, nueva app de autenticació...
- Apple presenta el iPad Pro y el chip M4 centrado ...
- Google presenta el Pixel 8A, un móvil de gama medi...
- ChatGPT se asocia con Stack Overflow
- Desvelan la identidad del jefe del grupo ruso de r...
- Más de 50.000 servidores Tinyproxy vulnerables
- Nuevas memorias ampliables LPCAMM2 para portátiles
- Condenan al cibercriminal que intentó extorsionar ...
- 3 millones de repositorios de Docker Hub utilizado...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Rusos desarrollaron una técnica nunca antes vista para acceder a un ordenador vía remota. El grupo APT28, también conocido como Fancy Bear,...
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
Vulnerabilidad en Foxit PDF Reader permite infectarse con malware
Los actores de múltiples amenazas están aprovechando una falla de diseño en el lector de PDF Foxit para entregar una variedad de malware como el Agente Tesla, Asyncrat, DCRAT, Nanocore Rat, NJRAT, Pony, REMCOS RAT y XWORM.
"Este exploit desencadena advertencias de seguridad que podrían engañar a los usuarios para ejecutar comandos dañinos", dijo Check Point en un informe técnico. "Este exploit está siendo utilizado por múltiples actores de amenazas para infectar usuarios".
Vale la pena señalar que Adobe Acrobat Reader, que suele tener muchas más vulnerabilidades, en este caso no es susceptible a este exploit específico, lo que contribuye a la baja tasa de detección de la campaña.
El problema se deriva del hecho de que la aplicación muestra "OK" como la opción seleccionada predeterminada en una ventana emergente cuando se le solicita al usuario que confíen en el documento antes de habilitar ciertas características para evitar posibles riesgos de seguridad.
Una vez que un usuario hace clic en Aceptar, se muestra una segunda advertencia emergente de que el archivo está a punto de ejecutar comandos adicionales con la opción "Abrir" establecida como el valor predeterminado. El comando activado se usa para descargar y ejecutar una carga útil maliciosa alojada en la red de entrega de contenido (CDN) de Discord.
"Si hubiera alguna posibilidad de que el usuario objetivo leyera el primer mensaje, el segundo sería 'acordado' sin leer", dijo el investigador de seguridad Antonis Terefos. "Este es el caso de que los actores de la amenaza están aprovechando esta lógica defectuosa y el comportamiento humano común, lo que proporciona como la opción predeterminada la más 'dañina'".
Check Point dijo que identificó un documento PDF con un tema militar que, cuando se abre a través de Foxit PDF Reader, ejecuta un comando para obtener un descargador que, a su vez, recuperó dos ejecutables para recopilar y cargar datos, incluidos documentos, imágenes, archivos, archivos, archivos, archivos, y bases de datos a un servidor de Comando y Control (C2).
Un análisis posterior de la cadena de ataque ha revelado que el descargador también podría usarse para soltar una tercera carga útil que sea capaz de hacer capturas de pantalla del host infectado, después de lo cual se cargan al servidor C2.
La actividad, evaluada para estar orientada al espionaje, se ha relacionado con el equipo de DoNot Team (también conocido como APT-C-35 y Origami Elephant), citando superposiciones con tácticas y técnicas previamente observadas asociadas con el actor de amenazas.
Una segunda instancia utiliza la misma técnica para implementar dos módulos mineros de criptomonedas como XMRIG y LOLMiner. Curiosamente, algunos de los archivos PDF se distribuyen a través de Facebook.
El malware Stealer desarrollado en Python es capaz de robar las credenciales y cookies de las víctimas de los navegadores Chrome y Edge, con los mineros recuperados de un repositorio de Gitlab que pertenece a un usuario llamado TopWorld20241. El repositorio, creado el 17 de febrero de 2024, todavía está activo al escribir esto.
En otro caso documentado, el archivo PDF actúa como un conducto para recuperar de Discord CDN Blank-Grabber, un ladrón de información de código abierto que está disponible en Github y que ha sido archivado a partir del 6 de agosto de 2023.
"Otro caso interesante ocurrió cuando un PDF malicioso incluyó un hipervínculo a un archivo adjunto alojado en Trello[.]com. Al descargar, reveló un archivo PDF secundario que contiene código malicioso, que se aprovecha del exploit"
La vía de infección culmina en la entrega de REMCOS RAT, pero solo después de avanzar a través de una serie de pasos que implican el uso de archivos LNK, aplicación HTML (HTA) y Scripts Visual Basic como pasos intermedios.
El actor de amenaza detrás de la campaña de REMCOS RAT, afirma ser un "hacker ético con más de 22 años de experiencia", se ha observado que anuncia varias herramientas maliciosas a través de un canal de Telegram dedicado, incluidos Crypters y exploits funcionales para Foxit. El canal fue creado el 21 de abril de 2022. Check Point dijo que también identificó otros servicios PDF Builder disponibles gratuitamente en GitHub.
En todo caso, el uso de Discord, Gitlab y Trello demuestran el abuso continuo de sitios web legítimos por parte de los actores de amenaza para combinarse con el tráfico de red normal, evadir la detección y distribuir malware. Foxit ha reconocido el problema y se espera que despliegue una solución en la versión 2024.3. La versión actual es 2024.2.1.25153.
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/05/vulnerabilidad-y-exploit-en-foxit-pdf.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.