Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2687
)
-
▼
abril
(Total:
362
)
-
XChat: la nueva plataforma de mensajería de Elon Musk
-
El kernel de Linux 7.0 ya está disponible para des...
-
NZXT y Fragile ceden ante la demanda colectiva por...
-
Dave Plummer, mítico ingeniero de Microsoft, asegu...
-
MSI Cubi NUC TWG, otro mini-PC
-
Explotación activa de un RCE crítico en Marimo
-
DIGI pierde el control en España y Europa de su ca...
-
Dario Amodei, CEO de Anthropic: “Entiendo las vent...
-
RPCS3 ya funciona casi como una PS3 real: permite ...
-
Anthropic lleva a su IA Claude Mythos a terapia re...
-
Adiós al diseño clásico: Huawei redefine los plega...
-
Algunas apps de Windows 3.1 eran tan "malas" que W...
-
DLSS 4.5 llega a War Thunder y más juegos RTX
-
Suplantan al líder de la Linux Foundation en Slack...
-
SFP+ ONT con el firmware 8311 para la red XGS-PON ...
-
Glass UI vuelve a Linux gracias a los colaboradore...
-
Usan ClickFix y archivos DMG maliciosos para distr...
-
Ocultan skimmer Magecart en páginas de pago de Mag...
-
Vulnerabilidad en Componentes de Servidor de React...
-
El sector tecnológico entra en crisis: casi 80.000...
-
La Armada británica rastreó 3 submarinos rusos cer...
-
Google Chrome presenta Device Bound Session Creden...
-
Geekbench 6.7 añade detección de BOT de Intel para...
-
Un pendrive USB que ya no uses puede ser aún útil
-
La suscripción a ChatGPT Pro ahora cuesta la mitad...
-
Vulnerabilidad en contraseña predeterminada de Jun...
-
ASUS ROG Equalizer, el cable 12V-2×6 para evitar l...
-
Explotación activa de CVE-2026-0740 en Ninja Forms...
-
Vulnerabilidades críticas en Chrome permiten a ata...
-
Un mantenedor de Go alerta sobre el riesgo de las ...
-
Google integra NotebookLM con Gemini: su nueva fun...
-
Una sola línea de código puede hacear jailbreak a ...
-
Sitio web oficial de CPUID comprometido para distr...
-
Múltiples vulnerabilidades en TP-Link Archer AX53 ...
-
Amazon eliminó Downloader, posiblemente la app más...
-
Susurro Fantasma, la IA de la CIA que localiza un ...
-
WhatsApp lanza función de nombre de usuario para c...
-
AWS corrige fallos críticos de RCE y escalada de p...
-
Ubuntu 26.04 LTS tiene unos requisitos más altos q...
-
Instagram lanza en España su modo para adolescente...
-
Microsoft suspende las cuentas de desarrollador de...
-
Adiós a Llama: Musa Spark es la nueva generación d...
-
El MediaTek Dimensity 9600 Pro permitirá que los m...
-
Ver YouTube gratis cada vez cuesta más: llegan los...
-
Meta presenta Muse Spark, su nuevo nuevo modelo de IA
-
Las gafas inteligentes son la nueva pesadilla de l...
-
Gemini for Home llega a España para que tu casa se...
-
Los resúmenes IA de Google dicen millones de menti...
-
ChatGPT, Gemini, Claude y DeepSeek activan su modo...
-
Amazon S3 convierte los depósitos S3 en sistema de...
-
Mitsubishi presenta una IA que para el coche si de...
-
SteamGPT es real: la IA ya está en la entrañas de ...
-
La IA Claude Mythos de Anthropic es una locura: de...
-
La industria del WiFi ha estado resolviendo el pro...
-
Telegram: infraestructura y epicentro del abuso di...
-
Una nueva IA está rompiendo los moldes: se llama K...
-
Vulnerabilidad en Docker permite a atacantes eludi...
-
Todo lo que debes saber de los certificados de Arr...
-
DesckVB RAT usa JavaScript ofuscado y cargador .NE...
-
Aatacan activamente a usuarios de Adobe Reader con...
-
Anthropic presenta la vista previa de Claude Mytho...
-
NVIDIA recorta el protagonismo de Vera Rubin en 20...
-
Nuevo RAT STX usa escritorio remoto oculto y funci...
-
AWS y Anthropic avanzan en ciberseguridad con IA u...
-
Extensión OpenVSX troyanizada propaga GlassWorm en...
-
Valve cae en la IA: lanzará una función de «SteamG...
-
Un 10% de las búsquedas realizadas con Google IA (...
-
Reduce la latencia de memoria en el peor caso hast...
-
El criptógrafo británico Adam Back es el creador s...
-
La IA de Claude Code descubre una vulnerabilidad d...
-
Claude descubre fallo RCE de 13 años en Apache Act...
-
Google despliega las pestañas verticales en Chrome
-
Una profesora de alemán decide cambiar los trabajo...
-
Rusos explotan routers domésticos y de pequeñas of...
-
Instagram refuerza los filtros de contenido para m...
-
Compra un iPhone de 1.400€ en Amazon y recibe un m...
-
Intel y Google anuncian acuerdo multianual de chips
-
Apple se queda sin A18 Pro por el éxito del MacBoo...
-
Tarjeta de memoria SanDisk de 2TB por 2.000$
-
¿Por qué la NASA se ha llevado una antigua cámara ...
-
Clásicos de Xbox 360 reaparecen en la Xbox Store
-
World ID, así es la solución de OpenAI para poder ...
-
Usuario de GitHub crea alternativa de código abier...
-
NVIDIA N1X para portátiles: se filtra con una plac...
-
La IA es una herramienta fantástica para ayudarte ...
-
Copilot ya no es “solo entretenimiento”, dice Micr...
-
Anthropic lanza Claude Mythos, una IA que detecta ...
-
Encuentran la primera vulnerabilidad de Claude Cod...
-
YouTube acaba de romper Internet. Su nueva función...
-
La amenaza de la IA generativa llega a Android: as...
-
Los cables de fibra óptica convertidos en micrófon...
-
Los astronautas de la Luna acaban de batir el réco...
-
Amazon, Microsoft y Google tienen un nuevo frente ...
-
ASUS decide subir los precios de los portátiles Sn...
-
Amazon pone fin al soporte para sus Kindle más ant...
-
macOS tiene una bomba de tiempo de red de 49,7 día...
-
Apple prepara un MacBook Neo 2 con un chip más ráp...
-
Microsoft comienza las actualizaciones forzadas a ...
-
Italia declara ilegales las subidas de precio de N...
-
La comprensión neural de texturas obra el milagro:...
-
-
▼
abril
(Total:
362
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Google y Back Market lanzan ChromeOS Flex USB , un kit para recuperar PCs antiguos y combatir la obsolescencia electrónica , facilitando s... -
Amazon eliminó Downloader , la app clave para Fire TV , tras acciones legales contra Fire Sticks modificados , pero la piratería persiste e... -
El sector tecnológico enfrenta una grave crisis en 2026 con casi 80.000 despidos en el primer trimestre , donde la IA es responsable de casi...
Nuevo ataque en WhatsApp usa scripts VBS, descargas en la nube y puertas traseras MSI
Una nueva campaña de malware está utilizando activamente WhatsApp para distribuir archivos dañinos directamente a usuarios de Windows, explotando la confianza generalizada en aplicaciones de mensajería cotidianas. Los actores de amenazas envían archivos maliciosos de Visual Basic Script (VBS) a través de mensajes de WhatsApp, sabiendo que los usuarios rara vez cuestionan los adjuntos provenientes de plataformas conocidas.
Una nueva campaña de malware está utilizando activamente WhatsApp para distribuir archivos dañinos directamente a usuarios de Windows, explotando la confianza generalizada en las aplicaciones de mensajería cotidianas.
Los actores de amenazas envían archivos maliciosos de Visual Basic Script (VBS) a través de mensajes de WhatsApp, sabiendo que los usuarios rara vez cuestionan los adjuntos provenientes de plataformas conocidas. Una vez que un destinatario ejecuta uno de estos archivos, un proceso de infección silencioso se activa en segundo plano, sin ninguna advertencia visible que alerte al usuario.
Esta campaña destaca por lo astutamente que se oculta dentro de un entorno operativo normal. Los atacantes utilizan técnicas de “living-off-the-land” —un método en el que los actores de amenazas dependen de herramientas que Windows ya tiene, en lugar de introducir programas desconocidos.
Utilidades legítimas como curl.exe y bitsadmin.exe son renombradas para parecer archivos del sistema estándar, y luego se colocan en carpetas ocultas dentro de C:\ProgramData. Las cargas útiles secundarias se descargan desde servicios en la nube confiables como AWS S3, Tencent Cloud y Backblaze B2, haciendo que las descargas maliciosas parezcan tráfico del sistema rutinario.
El Equipo de Investigación de Seguridad de Microsoft Defender identificó por primera vez esta campaña a finales de febrero de 2026. Los investigadores señalaron que la operación combina ingeniería social con técnicas de infección sigilosas, trabajando en múltiples etapas para instalar paquetes MSI maliciosos, mantener la persistencia tras reinicios del sistema y abrir canales de acceso remoto que otorgan a los atacantes control total y continuo sobre cualquier máquina que logren comprometer.
La campaña finalmente entrega un conjunto de paquetes de instalación MSI sin firmar, incluyendo Setup.msi, WinRAR.msi, LinkPoint.msi y AnyDesk.msi. La ausencia de un certificado de firma de código válido en los cuatro archivos es una clara señal de advertencia, ya que el software empresarial legítimo suele llevar la firma de un editor confiable.
.webp)
Una vez que estos instaladores se ejecutan, establecen acceso remoto persistente, dando a los atacantes la capacidad de robar datos, desplegar malware adicional o utilizar el sistema comprometido como parte de una operación de ataque más amplia.
Cómo se desarrolla el ataque: de VBS al compromiso total del sistema
El ataque comienza cuando un usuario ejecuta el archivo VBS malicioso recibido a través de WhatsApp. El script crea inmediatamente carpetas ocultas dentro de C:\ProgramData y coloca versiones renombradas de herramientas legítimas de Windows —curl.exe se convierte en netapi.dll, y bitsadmin.exe se disfraza como sc.exe.
A pesar de los cambios de nombre, ambos archivos aún conservan sus metadatos PE originales, específicamente el campo OriginalFileName. Esta discrepancia entre el nombre visible y los metadatos incrustados es una señal detectable que las herramientas de seguridad pueden usar para marcar la amenaza.
.webp)
Estas herramientas renombradas luego descargan cargas útiles VBS secundarias desde la infraestructura en la nube del atacante, incluyendo archivos llamados auxs.vbs y WinUpdate_KB5034231.vbs. Alojar estos archivos en plataformas conocidas como AWS S3 y Backblaze B2 es un movimiento deliberado, ya que los firewalls corporativos rara vez bloquean el tráfico hacia estos servicios.
Los nombres de los archivos también están diseñados para parecerse a paquetes de actualización legítimos de Windows, reduciendo la posibilidad de que alguien note las descargas o cuestione su origen.
Una vez que los scripts secundarios llegan al sistema, el malware comienza a manipular la configuración del Control de Cuentas de Usuario (UAC). Intenta continuamente ejecutar cmd.exe con privilegios elevados, modificando entradas del registro bajo HKLM\Software\Microsoft\Win hasta que se obtienen derechos administrativos.
Con esos derechos en mano, suprime por completo las alertas de seguridad, asegurando que los instaladores MSI finales se ejecuten sin activar ninguna advertencia o interrupción que pueda alertar al usuario o a un administrador de TI.
.webp)
Microsoft recomienda que las organizaciones bloqueen hosts de scripts como wscript y cscript para que no se ejecuten en rutas no confiables, y monitoreen las utilidades de Windows renombradas que se ejecuten con banderas de línea de comandos poco comunes. Los equipos de seguridad deben inspeccionar y filtrar el tráfico hacia plataformas en la nube como AWS S3, Tencent Cloud y Backblaze B2, ya que los atacantes dependen de estos servicios para entregar cargas útiles secundarias sin ser detectados.
Los cambios en el registro bajo HKLM\Software\Microsoft\Win deben rastrearse en tiempo real, y cualquier manipulación repetida del UAC debe marcarse como un indicador activo de compromiso. Activar el EDR en modo bloqueo detiene artefactos maliciosos incluso si la solución antivirus principal no los detecta, mientras que activar la protección contra manipulaciones evita que los atacantes desactiven los servicios de seguridad después del compromiso.
Configurar reglas de reducción de la superficie de ataque para bloquear que VBScript ejecute ejecutables descargados añade una capa crítica adicional. Capacitar a los usuarios finales para que cuestionen los adjuntos inesperados de WhatsApp —incluso de contactos conocidos— sigue siendo una de las formas más directas de detener este ataque antes de que comience.
Fuentes:
https://cybersecuritynews.com/new-whatsapp-attack-chain-uses-vbs-scripts/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.