Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2023
)
-
▼
marzo
(Total:
531
)
-
Errores comunes que debes evitar al configurar una...
-
Microsoft da marcha atrás a la IA: M365 Copilot no...
-
BetterLeaks: herramienta de código abierto para es...
-
Expertos en ciberseguridad del Gobierno de EEUU cr...
-
GitHub se une a Google, Amazon (AWS), OpenAI y Ant...
-
Vulnerabilidades críticas en Ubiquiti UniFi permit...
-
Telegram logra un récord histórico de moderación p...
-
Campañas avanzadas de phishing y vishing con devic...
-
NVIDIA creará LPU para China con la arquitectura d...
-
El troyano bancario Horabot reaparece en México co...
-
AMD se alía con Samsung: busca garantizar su acces...
-
Alerta por la estafa del hilo invisible en cajeros
-
Microsoft considera demandar a OpenAI por el recie...
-
OpenAI lanza GPT-5.4 Mini y Nano para responder el...
-
Kioxia anuncia nuevo SSD de súper alto IOPS que ac...
-
Meta abandona su plataforma en el metaverso Horizo...
-
YouTube quiere que los usuarios detecten vídeos cr...
-
PowerToys 0.98 para Windows ya está disponible con...
-
Bolsas Faraday, qué son esas extrañas fundas para ...
-
Samsung alerta contra la infracción de patentes de...
-
Nuevo exploit de iOS con herramientas avanzadas de...
-
Vulnerabilidad de día cero en firewall de Cisco ex...
-
Guardar datos en una memoria USB de 32 GB durante ...
-
El primer SSD M.2 de 16 TB del mercado aterriza a ...
-
iPhones pueden ser hackeados con solo visitar una web
-
Google mejora la experiencia gratuita de Gemini
-
Casi 20 años después Sony lanza un update para la ...
-
CISA advierte sobre vulnerabilidad en Microsoft Sh...
-
Cómo cambiar una partición de Windows de MBR a GPT...
-
Red de bots vinculada a Irán al descubierto tras f...
-
Vendedor de eBay recibe de vuelta una ZOTAC RTX 50...
-
Un modder convierte una Xbox en un PC para juegos:...
-
"Tu DNI en venta por menos de 4 dólares"
-
Caja PC con todo Noctua con la Antec Flux Pro (Caj...
-
Fan Control, pwmConfig y lm_sensors para configura...
-
Spotify activa la función "Modo exclusivo" para au...
-
SSD de 16TB cuesta casi 16.000$
-
CHUWI no está sola, Ninkear también usa procesador...
-
La IA china DeepSeek V4 se habría dejado ver antes...
-
CVE-2026-3888 en Ubuntu: escalada a root aprovecha...
-
FiltraciónNet amplía operaciones de ransomware con...
-
Vulnerabilidad crítica en Telnetd permite a atacan...
-
El mejor emulador de PS4 se actualiza: ShadPS4 rec...
-
Exposición de servidor de FancyBear revela credenc...
-
Vulnerabilidad en ScreenConnect permite extraer cl...
-
Nuevas campañas de malware convierten dispositivos...
-
Vulnerabilidad en WebKit de Apple permite eludir c...
-
El Ryzen 5 5500 se convierte en el procesador más ...
-
DLSS 5 no es un simple filtro para las caras: mejo...
-
Adobe forja una alianza con NVIDIA en un intento d...
-
Comprar por Internet es ahora más peligroso debio ...
-
Intel Xeon 6 elegido como CPU anfitrión para los s...
-
Nvidia presenta la bandeja Rubin Ultra, la primera...
-
Microsoft encuentra al culpable (y la solución) de...
-
El POD Vera Rubin de Nvidia con 60 exaflops: cómo ...
-
NVIDIA DLSS 5 explicado en 12 preguntas y respuest...
-
Intel apunta a hacerse de oro con la IA: packaging...
-
El cable Titanload Pro alcanza una temperatura has...
-
Google advierte que los actores de ransomware camb...
-
Jensen Huang dice que los jugadores están "complet...
-
Glassworm infecta paquetes populares de React Nati...
-
Vulnerabilidad en sistemas Ubuntu Desktop permite ...
-
El Bloc de notas de Windows 11 está a punto de cam...
-
El superordenador más potente del mundo dedicado a...
-
ASUS presenta los ROG Strix de 2026, máximo nivel ...
-
Vulnerabilidad crítica de inyección SQL en FortiCl...
-
Vulnerabilidad 'RegPwn' en el Registro de Windows ...
-
ASRock lanza placa base Frankenstein con un slot D...
-
Microsoft prevé comercializar cables MicroLED para...
-
VENON: primer RAT brasileño en Rust
-
Hasta 100 videollamadas al día: el inquietante tra...
-
Senadores de EE.UU. piden a ByteDance cerrar su ge...
-
China muestra un nuevo robot humanoide jugando al ...
-
Intel presenta los procesadores Core Ultra 200HX P...
-
Windows 11 permitirá a los usuarios elegir libreme...
-
La botnet RondoDox amplía a 174 exploits usando in...
-
Panasonic desbordada por la demanda pide disculpas...
-
Nuevo ransomware 'Payload' usa cifrado al estilo B...
-
Aficionado de Airflow imprime en 3D 15 miniventila...
-
Para acceder al disco duro más pequeño del mundo u...
-
NVIDIA Vera: Así es la primera CPU del mundo diseñ...
-
Extensión Open VSX con puerta trasera usó descarga...
-
Creative anuncia una nueva tarjeta de sonido inter...
-
8BitDo lanza un mando inalámbrico inspirado en Nin...
-
Rusia crea su primera CPU «Irtysh» usando la arqui...
-
MSI entra en situación de alarma por la crisis de ...
-
Europa podría "adoptar" a Anthropic para desarroll...
-
Pokémon GO anuncia un "modelo geoespacial a gran e...
-
Nvidia anuncia el módulo espacial Vera Rubin — has...
-
Nvidia presenta DLSS 5 para mayor fidelidad visual...
-
Descargas falsas de FileZilla propagan infecciones...
-
Apple presenta, por sorpresa, los AirPods Max 2
-
IBM descubre 'Slopoly', un probable malware genera...
-
Qihoo 360 filtró su propia clave privada SSL comod...
-
ChatGPT suma un nuevo enemigo: la Enciclopedia Bri...
-
Apple lanzó actualizaciones de emergencia para iOS...
-
Cada vez más empresas pagan rescates tras ciberata...
-
SUSE Linux a la venta y corre el peligro de perder...
-
World of Tanks apuesta por Mafia en su nuevo Pase ...
-
El conflicto en Irán retrasa el proyecto del cable...
-
-
▼
marzo
(Total:
531
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Los expertos recomiendan dejar de usar las DNS predeterminadas del router para mejorar la seguridad , evitar el control del ISP y optimizar... -
Las bolsas Faraday son fundas para móviles que bloquean señales usando el principio de la jaula de Faraday, empleadas en reuniones de alto...
Nuevo exploit de iOS con herramientas avanzadas de hackeo ataca a usuarios para robar datos personales
Un sofisticado kit de exploits de iOS en cadena completa, denominado DarkSword, ha sido desplegado activamente por múltiples proveedores comerciales de vigilancia y actores de amenazas patrocinados por estados desde al menos noviembre de 2025 para robar datos personales sensibles de usuarios de iPhone en cuatro países. DarkSword es un exploit de iOS en cadena completa que combina seis vulnerabilidades distintas, cuatro de las cuales se utilizaron como zero-days, para lograr un compromiso total
Un sofisticado kit de exploits de iOS de cadena completa denominado DarkSword, desplegado activamente por múltiples proveedores comerciales de vigilancia y actores de amenazas patrocinados por estados desde al menos noviembre de 2025 para robar datos personales sensibles de usuarios de iPhone en cuatro países.
DarkSword es un exploit de cadena completa para iOS que encadena seis vulnerabilidades distintas, cuatro de las cuales se explotaron como zero-days, para lograr el compromiso total del dispositivo en iPhones con versiones de iOS 18.4 a 18.7.
La cadena de exploits opera completamente en JavaScript, permitiendo a los atacantes eludir las mitigaciones de la Capa de Protección de Páginas (PPL) y el Monitor de Tablas de Páginas Seguras (SPTM) de Apple, que de otro modo bloquearían la ejecución de código binario nativo no firmado.
GTIG, iVerify y Lookout analizaron el nombre de la cadena de exploits basándose en marcas de herramientas incrustadas en las cargas útiles recuperadas y han confirmado su uso en campañas dirigidas contra víctimas en Arabia Saudita, Turquía, Malasia y Ucrania.
Cadena de Exploits de iOS con Seis Vulnerabilidades
La cadena de seis vulnerabilidades comienza con un exploit de ejecución remota de código (RCE) dirigido a JavaScriptCore, el motor JavaScript de Apple utilizado en Safari y WebKit, y avanza a través de dos etapas de escape de sandbox, una escalada de privilegios locales y una implementación final de carga útil que otorga a los atacantes privilegios completos a nivel de kernel.
CVE-2026-20700, un bypass del Código de Autenticación de Punteros (PAC) en el enlazador dinámico dyld de Apple, se encadenó directamente con ambos exploits de RCE y solo se parcheó con iOS 26.3 después de que GTIG lo reportara a Apple.
| CVE | Módulo de Exploit | Tipo de Vulnerabilidad | Componente Afectado | Zero-Day | Parcheado En |
|---|---|---|---|---|---|
| CVE-2025-31277 | rce_module.js | Optimización JIT / confusión de tipos | JavaScriptCore (WebKit) | No | iOS 18.6 |
| CVE-2025-43529 | rce_worker_18.6.js, rce_worker_18.7.js | Uso después de liberación / error de recolección de basura en la capa JIT DFG | JavaScriptCore (WebKit) | Sí | iOS 18.7.3, 26.2 |
| CVE-2026-20700 | rce_worker_18.4.js, rce_worker_18.6.js, rce_worker_18.7.js | Corrupción de memoria / bypass de PAC en modo usuario | dyld (Enlazador Dinámico) | Sí | iOS 26.3 |
| CVE-2025-14174 | sbox0_main_18.4.js, sbx0_main.js | Acceso a memoria fuera de límites en operación WebGL | ANGLE (proceso GPU / WebKit) | Sí | iOS 18.7.3, 26.2 |
| CVE-2025-43510 | sbx1_main.js | Gestión de memoria / error de copia en escritura | Kernel XNU | No | iOS 18.7.2, 26.1 |
| CVE-2025-43520 | pe_main.js | Condición de carrera en modo kernel en implementación VFS | Kernel XNU (Sistema de Archivos Virtual) | No | iOS 18.7.2, 26.1 |
GTIG identificó tres familias distintas de malware post-explotación desplegadas tras un compromiso exitoso de DarkSword, cada una adaptada a las necesidades específicas de los actores de amenazas.
GHOSTKNIFE, desplegado por el grupo de amenazas UNC6748 a través de un sitio de phishing con temática de Snapchat (snapshare[.]chat), es una puerta trasera en JavaScript capaz de exfiltrar cuentas iniciadas, mensajes, datos del navegador, historial de ubicación y grabaciones de audio desde el micrófono del dispositivo.
Se comunica con su servidor de comando y control (C2) mediante un protocolo binario personalizado cifrado con ECDH y AES, y elimina activamente los registros de fallos del dispositivo para evadir la detección forense.
GHOSTSABER, desplegado por el proveedor turco de vigilancia comercial PARS Defense en campañas dirigidas a Turquía y Malasia, admite más de 15 comandos C2 distintos, incluyendo enumeración de dispositivos, exfiltración de archivos, ejecución de consultas SQLite arbitrarias y subida de miniaturas de fotos.
Varios comandos de GHOSTSABER, como grabación de audio y geolocalización en tiempo real, aún no están completamente implementados en el implante de JavaScript, lo que sugiere que se descargan módulos binarios adicionales en tiempo de ejecución desde el servidor C2.
GHOSTBLADE, atribuido al actor de espionaje ruso sospechoso UNC6353, funciona como un minero de datos integral que exfiltra datos de iMessages, Telegram y WhatsApp, datos de carteras de criptomonedas, historial y cookies de Safari, bases de datos de Salud, llaveros del dispositivo, historial de ubicación y contraseñas Wi-Fi guardadas.
A diferencia de las otras dos familias, GHOSTBLADE no opera de manera persistente ni admite comandos interactivos de puerta trasera, pero su amplitud de recolección de datos lo hace muy valioso para operaciones de recopilación de inteligencia. Notablemente, el código de la biblioteca de GHOSTBLADE contiene una referencia a una función llamada startSandworm() que permanece sin implementar —posiblemente un nombre en clave para un exploit separado y futuro.
UNC6748 entregó DarkSword a través de un sitio fraudulento que imitaba a Snapchat, utilizando cargadores de JavaScript ofuscados con protecciones anti-depuración y huellas dactilares de almacenamiento de sesión para evitar reinfectar a las mismas víctimas.
PARS Defense mejoró su mecanismo de entrega para cifrar las etapas del exploit utilizando intercambio de claves ECDH entre la infraestructura del atacante y el dispositivo de la víctima, demostrando una mayor conciencia de seguridad operativa.
UNC6353 —un grupo de espionaje ruso sospechoso previamente vinculado al kit de exploits para iOS Coruna— incrustó etiquetas <script> maliciosas en sitios web ucranianos comprometidos, cargando DarkSword silenciosamente a través de iFrames ocultos.
Curiosamente, un comentario en el código fuente de UNC6353 estaba escrito en ruso, y GTIG ha estado trabajando con CERT-UA para mitigar esta campaña en curso activa hasta marzo de 2026.
GTIG reportó todas las vulnerabilidades de DarkSword a Apple a finales de 2025, y las seis CVE han sido parcheadas, la mayoría antes y el resto con el lanzamiento de iOS 26.3.
.webp)
Google también ha añadido todos los dominios de entrega de DarkSword identificados a Navegación Segura. Se insta encarecidamente a los usuarios a actualizar a la última versión de iOS inmediatamente; si las actualizaciones no están disponibles, se recomienda activar el Modo de Bloqueo como salvaguarda adicional contra esta clase de exploits.
Fuentes:
https://cybersecuritynews.com/darksword-ios-exploit/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.