Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1026
)
-
▼
febrero
(Total:
346
)
-
Trabajadores norcoreanos de TI se hacen pasar por ...
-
Crónica de #hc0n2026, la sexta Con de Hackplayers
-
15.200 paneles de control OpenClaw con acceso comp...
-
Grupo chino atacan el sector de telecomunicaciones...
-
Augustus: escáner de vulnerabilidades de código ab...
-
Aplicación de chat con IA expone 300 millones de m...
-
Grupo APT36 ataca sistemas Linux con nuevas herram...
-
Howard Shortt, experto en ciberseguridad: "Mucha g...
-
Google aconseja a millones de usuarios de Android ...
-
Diez consejos de protección en el Día de Internet ...
-
Intel entierra en silencio su idea más polémica: «...
-
DKnife: toolkit Linux que secuestra el tráfico par...
-
El FBI no pudo acceder al iPhone de un reportero p...
-
APT28 utiliza una vulnerabilidad de un día en Offi...
-
Una máquina de hospital con IA lesiona repetidamen...
-
LibreOffice critica a Microsoft: OOXML no es un fo...
-
Intel Nova Lake-S puede consumir más de 700 vatios...
-
Rendimiento de la Intel Arc B390 en Windows 11 vs ...
-
Google confirma que todos los móviles Android será...
-
La Comisión Europea detiene ciberataque a datos mó...
-
Discord restringirá por edad el acceso a funciones...
-
El interior del primer Ferrari 100% eléctrico dise...
-
España propone un impuesto a las empresas que usen...
-
Cómo podría estar tu móvil agotando tu tarifa de d...
-
Ethernet ultra: la interconexión de centros de dat...
-
Aparece una NVIDIA GeForce RTX 3080 Ti con 20 GB d...
-
Linus Torvalds confirma que Linux Kernel 7.0 está ...
-
La burbuja de la DDR4 comienza a mostrar signos de...
-
Tras el primer robot biomimético que imita al ser ...
-
Si tu impresora es antigua, Windows 11 puede dejar...
-
Dolby Vision y HDR10+ desaparecen de Disney+ en Eu...
-
Francia revoluciona la guerra con la primera fábri...
-
Vulnerabilidad de RCE con cero clics en extensione...
-
Nuevo ataque LTX basado en Node.js roba credencial...
-
Vulnerabilidad en Roundcube permite a atacantes ra...
-
El Bizum europeo es una realidad: 13 países y pago...
-
Qué son las «VPN milagro» y por qué pueden suponer...
-
La NASA está considerando salvar la Estación Espac...
-
Ni España ni Francia quieren a Elon Musk: el algor...
-
AYANEO NEXT 2: la consola más potente, con mayor b...
-
¿Cuál es el lugar más tecnológico de España? Así e...
-
32GB es la cantidad de memoria RAM que debes tener...
-
Nueva herramienta RecoverIt aprovecha fallos en fu...
-
Impresión 3D con uno de los materiales más duros d...
-
China crea un arma de microondas de alta potencia ...
-
Tim Cook da pistas sobre cómo celebrarán el 50 Ani...
-
Ciberdelincuentes usan cuentas gratuitas de Fireba...
-
DNS Privado Adguard en Android bloquea anuncios si...
-
OpenClaw, nuevo blanco en ola de ataques de envene...
-
OpenClaw integra el escaneo de VirusTotal para det...
-
Snapdragon X2 Elite vs Ryzen AI 9 HX 370 o Core Ul...
-
Tu router WiFi podría estar espiándote sin que lo ...
-
Nvidia ahora produce tres veces más código que ant...
-
Intel Core Ultra 5 250K Plus debuta en Geekbench c...
-
Qué ocurre con FSR4 para Radeon RX 6000 y Radeon R...
-
Los Intel Core Ultra G3 (Panther Lake para consola...
-
Alertan de una campaña que afecta a quienes pagan ...
-
Filtraciones de Panther Lake-H, Wildcat Lake y Nov...
-
Intel Nova Lake-S para PC tendrá 5 chipset distint...
-
MSI Roamii BE Pro: análisis del routerr Wi-Fi 7 mesh
-
Taiwán descarta transferir el 40% de su capacidad ...
-
La campaña publicitaria de 85 millones de dólares ...
-
Vulnerabilidad crítica en FortiClientEMS permite a...
-
AYANEO NEXT 2, la consola portátil más cara del mundo
-
Corte de energía en centro de datos de Microsoft i...
-
Actores de Black Basta integran componente de evas...
-
Detección de ransomware con minifiltro de Windows ...
-
NVIDIA podría lanzar una GeForce RTX 5090 Ti o RTX...
-
LocalGPT: un asistente de IA seguro para dispositi...
-
Si tu ex novia te rompe la GPU, debes saber que in...
-
Cuál es el alcance máximo de un rastreador de obje...
-
Vibe Coding: Aumentar la productividad sin aumenta...
-
Windows 11 se consolida como el sistema operativo ...
-
Irán abandona el GPS de Estados Unidos y se pasa a...
-
La fiebre de la IA obliga a Raspberry Pi a rediseñ...
-
Crean un páncreas artificial "vivo" que podría dec...
-
El precio de los portátiles Intel Panther Lake se ...
-
Las RTX 60 se retrasan hasta finales de 2027 en ve...
-
Los sistemas de refrigeración de CPU y GPU serán h...
-
nmapUnleashed facilita y mejora los escaneos con Nmap
-
Un YouTuber chino crea un bloque de agua integrado...
-
Intel habría cancelado su Core Ultra 9 290K Plus: ...
-
CISA otorga un año para retirar los dispositivos a...
-
Anthropic invierte millones de dólares para aparec...
-
¿5G, 4G o Wi-Fi? La ciencia explica qué conexión a...
-
Las placas con Intel LGA1700 sufren sobrepresión p...
-
Apple lanzará el iPhone 17e un día después de lleg...
-
Aplicaciones clonadas en Fire TV: qué son, cómo fu...
-
Flickr confirma filtración de datos: 35 millones d...
-
Exposición masiva de datos en clúster de Elasticse...
-
Europa, espiada: dos satélites rusos podrían haber...
-
Mil millones de móviles Android expuestos a una am...
-
La botnet AISURU/Kimwolf lanza un ataque DDoS réco...
-
Intel y AMD avisan en China: retrasos de hasta 6 m...
-
MSI Afterburner añade protección activa para las R...
-
Condenado a 16 años de cárcel por colaborar con la...
-
AMD muestra cómo crear música de alta calidad con ...
-
La Comisión Europea considera que el "diseño adict...
-
eBPF: observabilidad sin sobrecarga en Linux
-
ShadowSyndicate usa técnica de transición de servi...
-
-
▼
febrero
(Total:
346
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Symbian , el sistema operativo de Nokia, volverá a estar disponible en 2026 tras años de dominio en móviles, reviviendo uno de sus modelos ... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
nmapUnleashed se presenta como un potente envoltorio CLI que mejora las capacidades de Nmap para penetration testers y auditores de redes ....
Servidor de actualizaciones de eScan Antivirus pirateado para distribuir paquetes maliciosos
Un compromiso crítico en la cadena de suministro afectó al producto antivirus eScan de MicroWorld Technologies, donde actores maliciosos lograron secuestrar la infraestructura legítima de actualizaciones del proveedor para distribuir malware. Descubierto el 20 de enero de 2026 por Morphisec, el ataque utilizó un paquete de actualización troyanizado para desplegar malware en múltiples etapas en endpoints empresariales y de consumo a nivel global.
Un compromiso crítico en la cadena de suministro afectó al producto antivirus eScan de MicroWorld Technologies, donde actores maliciosos lograron secuestrar la infraestructura legítima de actualizaciones del proveedor para distribuir malware.
Descubierto el 20 de enero de 2026 por Morphisec, el ataque utilizó un paquete de actualización troyanizado para desplegar malware de múltiples etapas en endpoints empresariales y de consumidores a nivel global.
Este incidente deja ineficaz el software antivirus y altera específicamente las configuraciones del sistema para evitar la remediación automática.
Mecanismo de actualización troyanizado y cadena de ataque
El compromiso se inició mediante una actualización maliciosa enviada directamente a través de los canales oficiales de eScan. La cadena de ataque comienza con la “Etapa 1”, donde un componente troyanizado reemplaza el binario legítimo Reload.exe (versión de 32 bits).
Morphisec observó que el ejecutable malicioso está firmado digitalmente con un certificado válido perteneciente a “eScan (Microworld Technologies Inc.)”, lo que le permite eludir las verificaciones estándar de confianza.
Una vez ejecutado, este payload despliega un descargador de “Etapa 3” identificado como CONSCTLX.exe. Tras la brecha inicial, un descargador de “Etapa 2” establece persistencia y ejecuta maniobras de evasión de defensas.
Esta etapa es particularmente agresiva, empleando ejecución de PowerShell y manipulando el Registro de Windows para desactivar funciones de seguridad.
El malware se conecta a la infraestructura de Comando y Control (C2) para recuperar payloads adicionales, convirtiendo efectivamente la herramienta de seguridad en una puerta de entrada para más compromisos.
Una característica definitoria de esta campaña es su enfoque en la “anti-remediación”. El malware modifica activamente el archivo hosts del sistema infectado para bloquear la comunicación con los servidores de actualización de eScan.
Además, altera claves específicas del registro de eScan y archivos de configuración para romper permanentemente el mecanismo de actualización del antivirus.
Como consecuencia, los sistemas infectados no pueden recibir parches automáticos ni definiciones, dejándolos vulnerables incluso después de que el proveedor restaure su infraestructura.
La persistencia se logra mediante la creación de tareas programadas engañosas ubicadas en C:\Windows\Defrag\. El malware genera tareas usando un patrón de nombres que imita procesos legítimos del sistema, como Windows\Defrag\CorelDefrag.
Además, se establece persistencia en el registro bajo HKLM\Software\ usando claves GUID generadas aleatoriamente que contienen payloads de PowerShell codificados.
Indicadores de compromiso (IOCs)
Se insta a las organizaciones que utilizan el antivirus eScan a escanear sus entornos inmediatamente en busca de los siguientes indicadores.
Ten en cuenta que la remediación automática no es posible; la presencia de estos archivos indica un compromiso que requiere intervención manual.
| Descripción del componente | Nombre del archivo | Hash SHA-256 |
|---|---|---|
| Payload de Etapa 1 (Actualización troyanizada) | Reload[.]exe (32-bit) | 36ef2ec9ada035c56644f677dab65946798575e1d8b14f1365f22d7c68269860 |
| Descargador de Etapa 3 | CONSCTLX[.]exe (64-bit) | bec369597633eac7cc27a698288e4ae8d12bdd9b01946e73a28e1423b17252b1 |
| Muestra relacionada | N/A | 674943387cc7e0fd18d0d6278e6e4f7a0f3059ee6ef94e0976fae6954ffd40dd |
| Muestra relacionada | N/A | 386a16926aff225abc31f73e8e040ac0c53fb093e7daf3fbd6903c157d88958c |
Indicadores de red e infraestructura C2
Los administradores de red deben bloquear el tráfico de salida hacia los siguientes dominios, que han sido identificados como parte de la infraestructura de comando y control de los atacantes.
| Dominio / IP | Contexto |
|---|---|
| hxxps[://]vhs[.]delrosal[.]net/i | Infraestructura C2 |
| hxxps[://]tumama[.]hns[.]to | Infraestructura C2 |
| hxxps[://]blackice[.]sol-domain[.]org | Infraestructura C2 |
| 504e1a42.host.njalla.net | Host malicioso |
| 185.241.208[.]115 | IP maliciosa |
Medidas de remediación y mitigación
Dado que el malware inutiliza el mecanismo de actualización del software antivirus, las actualizaciones automáticas fallarán en las máquinas comprometidas.
eScan ha reportado haber desconectado el sistema global de actualizaciones durante más de ocho horas para aislar la infraestructura, pero esto no limpia los endpoints ya infectados.
Los administradores deben asumir que los sistemas con eScan que estuvieron activos el 20 de enero de 2026 o después están comprometidos.
Los pasos inmediatos incluyen verificar el archivo hosts en busca de entradas que bloqueen dominios de eScan e inspeccionar el registro en busca de claves GUID sospechosas que contengan datos en formato de matriz de bytes.
Las organizaciones afectadas deben contactar directamente a MicroWorld Technologies (eScan) para obtener un parche manual especializado diseñado para revertir los cambios de configuración y restaurar la funcionalidad del actualizador.
Fuentes:
https://cybersecuritynews.com/escan-antivirus-update-server-hacked/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.