Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3303
)
-
▼
abril
(Total:
978
)
-
SAP npm infectados roban credenciales
-
GPT-5.5 presenta riesgos similares a Claude Mythos...
-
Exempleado de Google en IA logra 1000 millones en ...
-
Extensión de Cursor AI accede a tokens de desarrol...
-
La app espía secreta de Italia al descubierto: cóm...
-
Gemini crea archivos Office gratis desde el chat
-
Gemini añade Nano Banana y Veo a Google TV y Chrom...
-
Denuvo cae pero sigue fastidiando a usuarios legít...
-
España aprueba una iniciativa para limitar los blo...
-
Meta planea abastecer sus centros de datos de IA c...
-
Claude Cursor borra datos y backups de empresa en ...
-
Copy Fail es un vulnerabilidad critica kernel de L...
-
China exige baterías ignífugas en coches eléctrico...
-
Fraude masivo con SMS falsos de multas tráfico
-
Jugadores de Minecraft infectados por LofyStealer ...
-
NVIDIA Nemotron 3 Nano Omni dota de sentidos a los...
-
Microsoft reducirá el consumo de RAM en Windows
-
Alerta por fraude que roba cuentas bancarias con M...
-
GitHub pierde usuarios por fallos constantes
-
Sony exige conexión mensual para juegos digitales ...
-
Analista revela alianza OpenAI con MediaTek y Qual...
-
Nuevo sistema genera errores intencionales en corr...
-
Nuevo ataque BlobPhish roba credenciales de inicio...
-
Meta transmitirá energía solar desde el espacio pa...
-
Meta cobraría por guardar chats en WhatsApp
-
IA supera en gasto a salarios humanos
-
Amazon presenta IA que vende por voz como un humano
-
Nuevo grupo de Ransomware Vect 2.0 RaaS ataca sist...
-
Robots humanoides en aeropuertos japoneses por tur...
-
La tasa de fallos de las CPU Intel Raptor Lake sup...
-
Samsung revela prototipo de Galaxy Glasses sin cámara
-
Seis centros de datos de IA propuestos para un pue...
-
WhatsApp prueba su propio proveedor de copias de s...
-
Magnific la nueva era de Freepik con IA
-
Grave vulnerabilidad en autenticación de cPanel y WHM
-
GitHub Copilot limita sus peticiones en junio
-
Grupo ShinyHunters hackea Vimeo
-
Google firma acuerdo clasificado de IA con el Pent...
-
Intel Core 5 320: prometedor para portátiles Windo...
-
Cierre de Kodispain: el addon más usado en Kodi en...
-
Kernel Linux pierde 138 mil líneas y decepciona a ...
-
Generador de malware ELF para Linux elude detecció...
-
ASUS presenta nuevas fuentes de alimentación TUF G...
-
Corsair ThermalProtect: cable diseñado para evitar...
-
El SoC Google Tensor G6 tendrá una GPU PowerVR del...
-
Cómo mantener la seguridad en redes Wi-Fi públicas
-
Canonical integrará IA en Ubuntu
-
PS5 ahora puede funcionar con Linux como un PC gamer
-
Google enfrenta protesta masiva de empleados por c...
-
Microsoft abre el código de MS-DOS 1.0
-
Rompen la protección anti-piratería de Denuvo
-
Microsoft reemplaza Copilot en el Bloc de notas de...
-
La Comisión Europea aprecia que Meta infringió la ...
-
Popular paquete de PyPI con 1 millón de descargas ...
-
Vision Pro revolucionan cirugías de cataratas
-
PS5 podría exigir conexión mensual a internet
-
Movistar presenta fibra On/Off con pago por uso di...
-
Pixel 11 usará GPU antigua para abaratar costos
-
Sinceerly es un plugin engaña a IA con errores ort...
-
Windows Remote Desktop deja fragmentos de imágenes...
-
Vulnerabilidad crítica de RCE en GitHub.com y Ente...
-
China construirá superordenador con 47 mil CPU nac...
-
WhatsApp lanzará almacenamiento cifrado para chats
-
Envía tu nombre al espacio con satélites de la NASA
-
Inyección SQL crítica en LiteLLM pone en riesgo cl...
-
OpenAI lleva su IA a Amazon tras terminar pacto co...
-
Samsung presenta monitor 6K para gaming Odyssey G8
-
Múltiples vulnerabilidades en OpenClaw permiten el...
-
cPanel advierte sobre fallo crítico de autenticaci...
-
FRITZBox 5690 vs 5530 Fiber comparativa
-
Gemini anticipa tus necesidades en el móvil
-
Bizum revoluciona su servicio en España desde el 1...
-
Adobe mejora Photoshop y Lightroom con novedades
-
Europa exige a Google permitir IA rivales en Android
-
Ubuntu incorporará IA en 2026
-
Atentado a Trump dispara ventas de juego del sospe...
-
Magnific la app española de IA para creativos supe...
-
La nueva app de Instagram lanzada en España: Insta...
-
Lenovo vende portátiles de 120 Hz, pero cuando los...
-
YouTuber crea memoria RAM en un laboratorio que hi...
-
Dispositivo a nanoescala genera electricidad conti...
-
Kingston DC3000ME PCIe 5.0, SSD NVMe U.2 de hasta ...
-
Las placas base de MSI serán menos peligrosas para...
-
Nueva campaña de BlueNoroff usa PowerShell sin arc...
-
Nuevo malware usa ofuscación y entrega de carga po...
-
La comunidad de impresión 3D se organiza contra le...
-
Agente de IA con Claude borra base de datos de emp...
-
Samsung presenta una pantalla LED de cine de 14 me...
-
El error de poner el repetidor Wi-Fi cerca del router
-
Linux: el kernel superará pronto los 40 millones d...
-
China muestra a Lingsheng, el superordenador a exa...
-
NVIDIA lanza una GeForce RTX 5070 Laptop con 12 GB...
-
Alertan sobre Claude Mythos capaz detectar vulnera...
-
Claude ahora detecta fallos en código con Bugcrawl
-
Malware oculto en app con un millón de descargas: ...
-
El legendario emulador de Nintendo ZSNES reescrito...
-
OpenAI lanzará su propio móvil
-
Malware previo a Stuxnet atacaba software industrial
-
Noctua publica archivos CAD 3D gratuitos para sus ...
-
Vulnerabilidad crítica de inyección SQL en LiteLLM
-
-
▼
abril
(Total:
978
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
El Firmware 8311 no es un firmware oficial de ningún fabricante, sino un proyecto comunitario de entusiastas (muy activos en Discord y ... -
Microsoft libera el código fuente de DOS en su 45.º aniversario , revelando la primera versión pública del sistema operativo para IBM PC y... -
Windows XP Edition 2026 es un concepto modernizado del creador Addy Visuals que propone cómo debería ser Windows 11 , inspirado en el clá...
Usan Microsoft Teams para infiltrarse en organizaciones haciéndose pasar por personal de soporte técnico
Un grupo de amenazas recientemente identificado, UNC6692, ha sido descubierto ejecutando una sofisticada campaña de intrusión en múltiples etapas que utiliza la suplantación de identidad en Microsoft Teams, un conjunto de malware modular personalizado y el abuso de infraestructura en la nube para penetrar profundamente en las redes empresariales, todo ello sin explotar una sola vulnerabilidad de software. El Grupo de Inteligencia de Amenazas de Google (GTIG) y los investigadores de Mandiant revelaron la campaña el 22 de abril
Un grupo de amenazas recientemente identificado, UNC6692, ha sido descubierto ejecutando una sofisticada campaña de intrusión en múltiples etapas que utiliza la suplantación de identidad en Microsoft Teams, un conjunto de malware modular personalizado y el abuso de infraestructura en la nube para penetrar profundamente en redes empresariales, todo sin explotar ni una sola vulnerabilidad de software.
El Grupo de Inteligencia de Amenazas de Google (GTIG) y los investigadores de Mandiant revelaron la campaña el 22 de abril de 2026, mostrando cómo UNC6692 manipula sistemáticamente la confianza de los empleados en herramientas empresariales cotidianas para obtener acceso completo a nivel de dominio.
A finales de diciembre de 2025, UNC6692 lanzó una campaña masiva de bombardeo de correos electrónicos contra sus objetivos, inundando deliberadamente las bandejas de entrada para crear una sensación de urgencia y confusión.
Con las víctimas abrumadas y distraídas, el actor de amenazas asestó el golpe crítico enviando un mensaje de phishing directamente a través de Microsoft Teams, haciéndose pasar por un empleado del servicio de asistencia técnica de TI que ofrecía ayuda con el volumen de correos.
Esta técnica no es una explotación de día cero ni un fallo de software. Como señaló Microsoft en su propio aviso de abril de 2026, la campaña abusa de las funciones legítimas de colaboración externa en Teams, con los atacantes convenciendo a los usuarios de ignorar múltiples advertencias de seguridad claramente presentadas.
Las víctimas aceptaron la invitación de chat de Teams desde una cuenta fuera de su organización, una acción aparentemente menor con consecuencias catastróficas.
Cadena de infección: del chat de Teams al compromiso total
Una vez en contacto, el atacante dirigió a la víctima a hacer clic en un enlace para instalar un "parche local" que supuestamente evitaba el spam de correos. El enlace llevaba a una página de phishing convincente que se hacía pasar por una "Herramienta de Reparación y Sincronización de Buzones v2.1.5", alojada en un bucket de AWS S3 controlado por el atacante, según Google.
La página implementaba un pipeline de ataque en múltiples fases:
- Fase 1 – Control de entorno: Un script de comprobación verificaba la URL en busca de un parámetro obligatorio
?email=y forzaba a las víctimas a usar Microsoft Edge mediante el esquema URImicrosoft-edge:, asegurando que los exploits fueran más efectivos. - Fase 2 – Recolección de credenciales: Una falsa "Comprobación de Salud" activaba un aviso de autenticación que rechazaba los dos primeros intentos de contraseña por diseño — un truco psicológico de "doble entrada" para garantizar la captura de credenciales sin errores tipográficos antes de exfiltrarlas a un bucket de S3.
- Fase 3 – Secuencia de distracción: Una barra de progreso falsa mostraba mensajes como "Analizando datos de configuración" y "Verificando integridad del buzón" para enmascarar la exfiltración de datos en tiempo real en segundo plano.
- Fase 4 – Preparación del malware: Mientras la barra de progreso se ejecutaba, se descargaban un binario de AutoHotkey y un script desde AWS S3 y se ejecutaban automáticamente al aterrizar en el mismo directorio — instalando SNOWBELT, una extensión maliciosa de navegador Chromium que se hacía pasar por "MS Heartbeat" o "System Heartbeat".
El ecosistema de malware SNOW
El conjunto de herramientas de UNC6692, denominado ecosistema SNOW, es un marco modular coordinado de tres componentes:
| Componente | Tipo | Rol |
|---|---|---|
| SNOWBELT | Extensión de navegador en JavaScript | Punto de apoyo inicial; intercepta y retransmite comandos C2; utiliza URLs de S3 basadas en DGA para C2 |
| SNOWGLAZE | Túnel WebSocket basado en Python | Enruta tráfico TCP a través de la víctima mediante un proxy SOCKS hacia un servidor C2 en Heroku |
| SNOWBASIN | Servidor HTTP local en Python (puerto 8000) | Ejecuta comandos de shell, captura pantallas, exfiltra archivos |
SNOWBELT mantenía la persistencia a través de un acceso directo en la carpeta de Inicio de Windows, dos tareas programadas y un proceso de Microsoft Edge sin cabeza que cargaba silenciosamente la extensión.
SNOWGLAZE enmascaraba el tráfico malicioso envolviendo los datos en objetos JSON codificados en Base64 sobre WebSockets, haciendo que pareciera tráfico web cifrado estándar.
Tras establecer el acceso inicial, UNC6692 ejecutó un script de Python a través de SNOWBASIN para escanear la red local en busca de los puertos abiertos 135, 445 y 3389. Utilizando sesiones de PsExec enrutadas a través del túnel SNOWGLAZE, los atacantes enumeraron cuentas de administrador local e iniciaron una sesión de RDP a un servidor de respaldo.
En el servidor de respaldo, el actor de amenazas utilizó el Administrador de Tareas de Windows para volcar la memoria del proceso LSASS, capturando hashes de contraseñas, y exfiltró el volcado mediante LimeWire.
Con los hashes en su poder y fuera de la red de forma segura, el atacante realizó una extracción de credenciales sin conexión, luego utilizó Pass-the-Hash para autenticarse directamente en los controladores de dominio sin necesidad de contraseñas en texto claro.
En el controlador de dominio, el atacante descargó FTK Imager, montó la unidad local y extrajo la base de datos de Active Directory (NTDS.dit), SAM, SYSTEM y las colmenas del registro SECURITY, las joyas de la corona de cualquier entorno empresarial Windows.
Estos también fueron exfiltrados mediante LimeWire. La telemetría de EDR capturó al atacante tomando capturas de pantalla específicas de las ventanas activas de FTK Imager y Edge, confirmando la finalización de la misión.
Una característica definitoria de la campaña de UNC6692 es su abuso sistemático de servicios legítimos en la nube para cada etapa del ataque: entrega de payloads, exfiltración de credenciales, infraestructura C2 y preparación de datos, todo lo cual dependió de plataformas confiables como AWS S3 y Heroku.
Esta estrategia de "vivir de la nube" permite que el tráfico malicioso se mezcle con altos volúmenes de tráfico web cifrado y de fuentes reputadas, haciendo que los filtros de reputación de dominio y las listas de bloqueo basadas en IP sean en gran medida ineficaces.
Los defensores deben ampliar la visibilidad más allá del monitoreo tradicional de procesos para incluir la actividad de extensiones de navegador, el tráfico de salida no autorizado a la nube y los procesos de navegador sin cabeza.
De manera crítica, las organizaciones deberían restringir o monitorear de cerca la configuración de acceso externo de Microsoft Teams para evitar que inquilinos desconocidos inicien sesiones de chat con los empleados.
Como demuestra UNC6692, el eslabón más débil en la seguridad empresarial no siempre es un servidor mal configurado, sino un empleado que confía en un mensaje de Teams de alguien que afirma ser del departamento de TI.
Indicadores de Compromiso (IOCs)
- Patrón de URL de phishing:
https://service-page-[ID]-outlook.s3.us-west-2.amazonaws.com/update.html?email= - Servidor C2:
wss://sad4w7h913-b4a57f9c36eb[.]herokuapp[.]com:443/ws - Patrón de URL C2 de SNOWBELT:
https://[a-f0-9]{24}-[0-9]{6,7}-[0-9]{1}.s3.us-east-2.amazonaws[.]com - Clave VAPID de SNOWBELT:
BJkWCT45mL0uvV3AssRaq9Gn7iE2N7Lx38ZmWDFCjwhz0zv0QSVhKuZBLTTgAijB12cgzMzqyiJZr5tokRzSJu0 - Archivos de suplantación:
RegSrvc.exe(binario de AutoHotKey),Protected.ahk,SysEvents(directorio de extensión SNOWBELT).
Fuentes:
https://cybersecuritynews.com/microsoft-teams-breach-organizations/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.