Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1429
)
-
▼
febrero
(Total:
749
)
-
Usan imágenes esteganográficas para eludir escaneo...
-
Qué es Citrini Research y por qué ha causado el ca...
-
CISA alerta de explotación activa de dos vulnerabi...
-
Actores norcoreanos usan falsos trabajadores de TI...
-
El último modelo de IA chino de DeepSeek se ha ent...
-
GrayCharlie inyecta JavaScript malicioso en sitios...
-
El mapa de España que muestra las antenas que tien...
-
Nuevo RAT personalizado MIMICRAT descubierto en so...
-
Presunto robo de 21 millones de registros de Odido...
-
ASML aumenta la potencia de sus sistemas de litogr...
-
China muestra el rival del Apple MacBook Air: el M...
-
Adiós al cable submarino que cambió Internet
-
Samsung activa la era PCIe 6.0: prepara la producc...
-
El MIT crea una impresora 3D capaz de fabricar un ...
-
Anthropic acusa a DeepSeek y otras IA chinas de co...
-
WhatsApp lanza función opcional de contraseña para...
-
Qué tiene dentro una SIM, la tecnología que no ha ...
-
Panasonic deja de fabricar televisores, el fin de ...
-
Usan DeepSeek y Claude para atacar dispositivos Fo...
-
OpenClaw lanza la versión 2026.2.23 con actualizac...
-
Vía libre para los procesadores NVIDIA N1, un dolo...
-
Ring no quiere problemas con sus timbres y ofrece ...
-
La marca Xbox morirá lentamente, dice el creador d...
-
Todos los datos de altos cargos del INCIBE Español...
-
Detenidos los cuatro miembros principales del grup...
-
Microsoft planea añadir agentes IA integrados en W...
-
Visto en China: máquinas robots recolectores de fr...
-
Mil millones de registros de datos personales expu...
-
Tesla deja sin pagar un pedido de 4.000 pasteles y...
-
Código *#9900# para móviles Samsung Galaxy te da a...
-
¿Qué es 'ghost tapping', la estafa silenciosa, que...
-
Visto en China: autobuses con semáforos en tiempo ...
-
Sam Altman, CEO de OpenAI: "Los humanos consumen t...
-
Nuevo marco de phishing Starkiller clona páginas d...
-
Google decide cambiar las descripciones generales ...
-
Los relojes de Huawei ya permiten los pagos sin co...
-
Amazon da un paso atrás con la IA, y retira su fla...
-
Anthropic lanza Claude Code Security para analizar...
-
Amazon Fire TV bloquea para siempre la instalación...
-
La memoria comienza a bajar: DDR5 corrige su preci...
-
Wikipedia bloquea oficialmente todos los enlaces a...
-
Cloudflare cae: 6 horas de interrupción global dej...
-
USB-CDKG01: dock para consolas portátiles y mini P...
-
Apple producirá Mac Minis en Houston por primera v...
-
La memoria RAM afectará a los precios de servidore...
-
Programar mensajes en WhatsApp para enviarlos cuan...
-
Adiós a los SMS inseguros: Apple y Android prueban...
-
Meta acuerda con AMD desplegar 6 gigavatios de GPU...
-
Javier Tebas reta a Donald Trump en su lucha contr...
-
Keebmon: un Mini-PC con pantalla táctil de 13 pulg...
-
El fiasco del Metaverso, otra tecnología que iba a...
-
Estas son las AMD RX 9070 XT que más fallos tienen...
-
Agente asistido por IA compromete dispositivos For...
-
El Bloc de notas va a dejar de ser solo un editor ...
-
OpenAI explota su propia burbuja de la IA: de 1,4 ...
-
Anthropic denuncia la extracción a escala industri...
-
Google Chrome publica actualización de seguridad d...
-
Intel traslada el soporte al cliente a un asistent...
-
El gigante alemán de centros de datos Hetzner sube...
-
China ya tiene el procesador fotónico LightGen, 10...
-
El fondo de pantalla más famoso de Windows "vuelve...
-
Akasa lanza su caja Mini-ITX sin ventilador de últ...
-
El Museo de la Historia de la Computación presenta...
-
Puedes acceder gratis a 28 sistemas informáticos c...
-
Usuario toma el control accidental de más de 6.700...
-
Los usuarios de Asus y Acer en Alemania no pueden ...
-
Los precios de los discos duros en Reino Unido son...
-
Dell ancla mecánicamente el conector de 16 pines e...
-
Diez mentiras de la historia de las consolas
-
Vulnerabilidad crítica en teléfonos Grandstream pe...
-
Ni 5G ni 4G: por qué te quedas sin datos en evento...
-
PentAGI: Automatización avanzada de penetration te...
-
Riesgos y vulnerabilidades de seguridad en los 10 ...
-
Tarjetas gráficas MSI RTX 5090 Lightning Z en eBay...
-
CISA advierte sobre múltiples vulnerabilidades de ...
-
OpenAI comienza a desarrollar sus nuevos dispositi...
-
Firefox se despide de Windows 7 y 8.1
-
Microsoft MFA caído: errores 504 interrumpen el ac...
-
CISA alerta: una RCE en BeyondTrust ya se explota ...
-
Google bloqueó 1,75 millones de apps maliciosas pa...
-
Thermal Grizzly empieza a vender CPU AMD Ryzen 7 9...
-
Microsoft Paint recibe la función que todos pedían...
-
Advantest Corporation confirma sufrir un ataque de...
-
¿Por qué los textos que genera ChatGPT son tan abu...
-
Los agentes de IA provocaron 2 interrupciones del ...
-
La tienda Google Play Store bloqueó casi 2 millone...
-
Phil Spencer deja Microsoft tras 38 años y Xbox en...
-
India se une al esfuerzo liderado por EE.UU. para ...
-
Así puedes convertir un simple pendrive en un todo...
-
Qué es Seedance 2.0, la IA de TikTok para crear ví...
-
Deutsche Telekom logra la teletransportación cuánt...
-
El gobierno francés reconoce exposición de 1,2 mil...
-
Movistar Plus+ impide adelantar o retroceder en la...
-
Los servidores MCP pueden ser explotados para ejec...
-
El 80% de las empresas dice que no hay mejora de p...
-
AWAKE: Wiki de ataques, exploits y malware para An...
-
ChatGPT tiene un nuevo modo pensado en los que qui...
-
PM01, el aterrador robot que ya patrulla las calle...
-
No le pidas a la IA que genere para ti una contras...
-
Intel elimina el soporte telefónico y lo sustituye...
-
-
▼
febrero
(Total:
749
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Harvard reduce su exposición a Bitcoin tras su caída histórica y apuesta por una nueva criptomoneda como alternativa de inversión. -
Un ciberataque al INCIBE (Instituto Nacional de Ciberseguridad) expuso datos sensibles de altos cargos y exmiembros , incluyendo teléfonos,... -
Amazon Fire TV bloquea definitivamente la instalación de apps pirata y clones , exigiendo modificaciones técnicas en APKs y limitando el ac...
GrayCharlie inyecta JavaScript malicioso en sitios WordPress para distribuir NetSupport RAT y Stealc
Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan. El grupo tiene coincidencias con el clúster previamente rastreado como SmartApeSG, también llamado ZPHP o HANEMONEY.
Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan.
El grupo tiene solapamiento con el clúster SmartApeSG, también llamado ZPHP o HANEMONEY. Su herramienta principal es NetSupport RAT, un troyano de acceso remoto que otorga a los atacantes control directo sobre las máquinas infectadas.
Además de NetSupport RAT, el grupo ha desplegado Stealc, un malware ladrón de información, y más recientemente SectopRAT, ampliando el alcance de lo que los atacantes pueden robar de los sistemas comprometidos.
La técnica central de GrayCharlie consiste en insertar una etiqueta script en el Document Object Model (DOM) de un sitio WordPress legítimo pero comprometido.
La etiqueta apunta a un archivo JavaScript externo alojado en servidores controlados por los atacantes. Cuando un visitante abre la página, el script analiza su navegador y sistema operativo antes de decidir qué mostrarle a continuación.
Las víctimas se encuentran con una falsa actualización de navegador convincente o un falso CAPTCHA al estilo ClickFix, ambos diseñados para que los usuarios instalen o ejecuten el malware sin darse cuenta.
Analistas de Recorded Future identificaron la infraestructura backend de GrayCharlie como vinculada principalmente a MivoCloud y HZ Hosting Ltd.
Los investigadores rastrearon dos clústeres principales de servidores C2 de NetSupport RAT, cada uno definido por patrones distintos de nombres de certificados TLS, claves de licencia y números de serie, desplegados de manera constante a lo largo de 2025.
.webp)
El grupo administra servidores C2 a través del puerto TCP 443 y utiliza SSH para gestionar servidores de preparación, lo que ayuda a que su tráfico parezca normal. Los patrones de navegación desde infraestructuras de nivel superior sugieren que al menos algunos miembros de GrayCharlie hablan ruso.
.webp)
Los ataques del grupo abarcan múltiples industrias a nivel global, aunque Estados Unidos sigue siendo su objetivo más frecuente. Se encontraron al menos quince sitios web de bufetes de abogados estadounidenses inyectados con el mismo JavaScript malicioso apuntando al mismo dominio de los atacantes.
.webp)
Los investigadores creen que estos bufetes fueron comprometidos a través de un ataque a la cadena de suministro que involucra a SMB Team, una empresa de servicios de TI que atiende a numerosos bufetes en Norteamérica.
%20and%20SMBTeam%20logo%20(bottom)%20(Source%20-%20Elastic).webp)
Aparecieron credenciales robadas vinculadas a una dirección de correo electrónico de SMB Team alrededor del momento en que el dominio malicioso se activó por primera vez.
Cómo infecta GrayCharlie los sistemas
Una vez que la víctima ejecuta el JavaScript de la falsa actualización, WScript inicia PowerShell, que descarga y extrae un cliente completo de NetSupport RAT en la carpeta AppData del usuario.
.webp)
La cadena ClickFix funciona de manera similar: el usuario pega un comando proporcionado por los atacantes que recupera un archivo batch, instala el RAT y escribe una clave de ejecución en el Registro para mantener la persistencia en cada reinicio.
.webp)
Los operadores se conectan a través del C2, realizan reconocimiento del sistema y pueden desplegar SectopRAT como carga útil secundaria.
Para reducir la exposición, los equipos de seguridad deberían bloquear las direcciones IP y dominios conocidos de GrayCharlie, implementar reglas de detección YARA, Snort y Sigma en plataformas SIEM o EDR, y monitorear los sitios WordPress en busca de inyecciones no autorizadas de scripts en el DOM.
Fuentes:
https://cybersecuritynews.com/graycharlie-injects-malicious-javascript/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.