Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4000
)
-
▼
May
(Total:
697
)
-
Operación Ramz incauta 53 servidores vinculados a ...
-
Desmantelan red de fraude publicitario en Android ...
-
Microsoft libera RAMPART y Clarity para reforzar l...
-
Vulnerabilidad PinTheft en Linux permite acceso ro...
-
Fedora elimina paquetes de Deepin por seguridad
-
Heroic Launcher mejora modo consola y personalización
-
Bots representan el 53% del tráfico web global
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
Vulnerabilidades críticas de PostgreSQL permiten e...
-
Google Gemini Omni para crear vídeos hiperrealistas
-
Vulnerabilidad crítica en Apache Flink permite eje...
-
IA colapsa el sistema de errores de Linux
-
Samsung lanza gafas inteligentes contra Meta
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
WD DC HC6100 UltraSMR, así son los primeros discos...
-
Firefox añade copia de seguridad local a Linux
-
Intel va a por el MacBook Neo con Project Firefly:...
-
Cirugía para parecerse a la IA
-
Apple acusada de ralentizar iPhones antiguos
-
Vulnerabilidad crítica de Marimo permite ejecución...
-
WWDC 2026: novedades de iOS 27 y Siri IA
-
Nova Lake-S: salto masivo en rendimiento
-
IA reemplazará empleos en 18 meses según Microsoft
-
Intel Nova Lake tiene muestras de ingeniería lista...
-
Malware de macOS instala falso actualizador de Goo...
-
Linux ya disponible en más PS5
-
Cadena de malware UAC-0184 usa bitsadmin y archivo...
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Kimsuky ataca a reclutadores, usuarios de cripto y...
-
Comprometen paquetes de @antv en ataque de npm Min...
-
La principal agencia de ciberdefensa de EE. UU. ex...
-
China habría cerrado la puerta a la entrada de grá...
-
Administrador de CISA expone credenciales de AWS G...
-
Campaña de malware usa JavaScript, PowerShell y sh...
-
Apple implementará IA para corregir mensajes
-
Intel y socios crean MacBook barato contra Apple
-
Publicado el PoC de DirtyDecrypt para la vulnerabi...
-
Utilizan routers Four-Faith para botnet
-
Edge deja de cargar contraseñas al iniciar
-
Cuidado: la IA puede robar tus huellas dactilares ...
-
GitHub Action comprometida filtra credenciales a d...
-
Atacantes usan Cloudflare para exfiltrar archivos ...
-
Detectan un fallo en Android que expone tu conexió...
-
Sony dejará de lanzar exclusivos en PC
-
Gen Z recupera el Discman por Spotify
-
Compañía Aérea prohíbe robots humanoides en sus vu...
-
Jefe de IA de Microsoft predice robots en oficinas...
-
MiniPlasma: un PoC reabre una escalada local a SYS...
-
Microsoft eliminará la tecla Copilot de Windows 11
-
Drupal lanzará actualizaciones críticas de segurid...
-
Movistar y Sony prueban 5G ultrarrápido en España
-
Novedades de Gemini en el Google I/O
-
Microsoft publica Azure Linux 4.0
-
Lo que publicas en Instagram lo están usando para ...
-
Microsoft confirma que hay problemas con las actua...
-
A falta de días para la huelga se filtra que Samsu...
-
Vulnerabilidades en el gateway de correo SEPPMail ...
-
LineShine, el super ordenador de China con 2,4 mil...
-
Claude Mythos halla fallos críticos en sistemas y ...
-
Mythos crea exploits PoC en investigación automati...
-
UE 5.8 lleva Ray Tracing a Switch 2
-
Barreras a la reparación de productos
-
Usan cuentas de Microsoft Entra ID para robar dato...
-
Grabaron su propio ciberataque en Teams
-
PlayStation Plus sube sus precios
-
Etiquetas populares de GitHub Action redirigidas a...
-
Las gafas inteligentes de Ray-Ban Meta permitirán ...
-
IA satura la lista de seguridad de Linux
-
Linux suma Nvidia Reflex y AMD Anti-Lag para todo GPU
-
Gemini supera a ChatGPT con su nuevo nivel de pens...
-
El test de Lovelace es una versión más exigente de...
-
Reaper: el malware que roba contraseñas y billeter...
-
Cómo borrar tus datos de Claude
-
IA dispara precio eléctrico en EE.UU. un 76%
-
Otro paquete de npm cae víctima de un clon de Shai...
-
Vulnerabilidad crítica en plugin Burst Statistics ...
-
Malta regalará ChatGPT Plus bajo una condición: qu...
-
WhatsApp lanza mensajes temporales inteligentes
-
Musk pierde juicio contra OpenAI
-
Grok Build: la IA de Elon Musk que programa por ti
-
NVIDIA Vera Rubin consumirá aproximadamente 6.041 ...
-
Un 60% de los jugadores de PC no planea comprarse ...
-
Linux domina los superordenadores
-
Aprende Linux con estos 4 juegos
-
CHUWI UniBook: rival directo del MacBook Neo con C...
-
Operación Ramz de INTERPOL desarticula redes de ci...
-
-
▼
May
(Total:
697
)
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ...
Campaña de malware usa JavaScript, PowerShell y shellcode para distribuir Crypto Clipper
Se ha detectado una sofisticada campaña de malware a nivel global diseñada para robar criptomonedas. Los atacantes utilizan un cargador multietapa denominado CountLoader, el cual combina JavaScript, PowerShell y shellcode para desplegar un payload capaz de interceptar y redirigir las transacciones de los usuarios.
Una ola de malware bien diseñado está drenando silenciosamente criptomonedas de usuarios en todo el mundo, y los atacantes detrás de esto han hecho grandes esfuerzos para permanecer ocultos.
Investigadores han descubierto una campaña a gran escala basada en un cargador de múltiples etapas llamado CountLoader, que encadena JavaScript, PowerShell y shellcode para entregar una carga útil que intercepta y redirige transacciones de criptomonedas.
El alcance de esta campaña es sorprendente, con decenas de miles de máquinas infectadas en múltiples continentes. El malware no depende de un solo truco.
Comienza con un archivo EXE malicioso que ejecuta un comando de PowerShell, descargando un cargador de JavaScript ofuscado y ejecutándolo a través de mshta.exe, una utilidad legítima de Windows que los atacantes abusan frecuentemente porque el sistema operativo confía en ella por defecto.
Esto permite que el malware se mezcle con la actividad normal, dándole tiempo para instalarse antes de que cualquier defensa pueda responder.
Analistas de McAfee Labs, quienes redactaron la investigación y compartieron detalles en un informe, señalaron que la campaña alcanzó aproximadamente a 86,000 máquinas infectadas únicas.
En promedio, alrededor de 5,000 sistemas infectados se conectaban a la infraestructura de comando y control cada minuto. Las infecciones fueron más altas en la India, seguida de Indonesia y los Estados Unidos, con una fuerte presencia en el sudeste asiático.
Más allá de la entrega basada en internet, el malware también se propaga a través de unidades USB. Cuando recibe instrucciones de su servidor de comando, CountLoader reemplaza archivos en unidades externas conectadas con archivos de acceso directo LNK.
Campaña de Malware que Entrega Crypto Clipper
Abrir uno de estos accesos directos ejecuta silenciosamente el malware mientras abre el archivo original, por lo que las víctimas no notan nada inusual. Alrededor de 9,000 infecciones fueron rastreadas hasta este método basado en USB.
El objetivo final es un cryptocurrency clipper (recortador de criptomonedas). Una vez cargado en la memoria, monitorea el portapapeles en segundo plano.
En el momento en que copias una dirección de billetera, el clipper la reemplaza por una controlada por el atacante, redirigiendo los fondos silenciosamente sin ninguna advertencia visible para ti.
La cadena de infección está diseñada para evitar la detección en cada etapa. Después de que el EXE inicial se ejecuta, una tarea programada se activa cada 30 minutos para mantener la persistencia desde el primer paso.
Cadena de Infección (Fuente – McAfee)El script de PowerShell luego decodifica una carga útil Base64 y la ejecuta usando Invoke-Expression, una técnica común para ejecutar código oculto sin escribir nada en el disco.
CountLoader toma entonces el control como un archivo HTA cargado a través de mshta.exe. Oculta su ventana, intenta borrar su propio archivo si se ejecuta localmente y rota a través de servidores de comando hasta que uno responda.
Una vez conectado, realiza un saludo cifrado, obtiene un token JWT y envía detalles sobre el host infectado, incluyendo cualquier billetera de criptomonedas o extensiones de navegador instaladas.
Las siguientes etapas involucran un empaquetador de PowerShell que descifra y lanza un inyector de shellcode. Antes de inyectar, el script desactiva AMSI, una función de Windows diseñada para detectar scripts maliciosos, utilizando un bypass público conocido.
El shellcode luego carga la carga útil final directamente en la memoria bajo systeminfo.exe, sin tocar nunca el disco, lo que hace que sea significativamente más difícil de detectar para las herramientas de seguridad.
Crypto Clipper Entregado vía EtherHiding
Lo que diferencia a la carga útil final es cómo localiza su servidor de comando. En lugar de codificar un dominio que pueda ser bloqueado o eliminado, el clipper utiliza una técnica llamada EtherHiding, obteniendo la dirección del servidor directamente de la blockchain de Ethereum.
Dado que la blockchain es descentralizada, no hay un punto único que los defensores puedan cerrar para cortar la comunicación del malware.
Distribución Global de Infecciones de CountLoader (Fuente – McAfee)Una vez recuperada la dirección del servidor, el clipper monitorea silenciosamente el contenido del portapapeles y es compatible con múltiples formatos de criptomonedas, lo que significa que puede intercambiar direcciones de Bitcoin, Ethereum y otras sin que tú te des cuenta.
Los investigadores midieron la escala real de esta campaña registrando un dominio C2 de respaldo y desviando el tráfico infectado hacia su propio servidor, convirtiendo efectivamente la infraestructura de los atacantes en su contra.
Para reducir el riesgo, debes evitar ejecutar archivos EXE de fuentes no confiables, tratar con precaución las unidades USB desconocidas y siempre verificar las direcciones de las billeteras antes de enviar criptomonedas.
Vigilar si aparecen tareas programadas desconocidas en Windows y mantener actualizado el software de seguridad también puede ayudarte a detectar esta amenaza antes de que se produzcan daños graves.
Fuentes:
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sinkholing-countloader-insights-into-its-recent-campaign/
https://cybersecuritynews.com/malware-campaign-deliver-crypto-clipper/
Labels:
Newer Post
0 comments :
Post a Comment
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.