Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3807
)
-
▼
mayo
(Total:
504
)
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
Claude Code anticipará tus necesidades antes que tú
-
FBI advierte sobre peligros de puertos USB públicos
-
Grupo kTeamPCP y BreachForums ofrecen 1.000 $ por ...
-
Vulneran 170 paquetes npm para robar secretos de G...
-
Explotan vulnerabilidad de salto de autenticación ...
-
NVIDIA crea IA que aprende sola
-
IA de Anthropic halla fallos de seguridad en macOS
-
Paquete node-ipc de npm comprometido en ataque de ...
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
Descubren un grave fallo de seguridad en el popula...
-
Android 17 será un sistema inteligente
-
Vulnerabilidad de 18 años en el módulo de reescrit...
-
Jonsbo DS339: así es el mini monitor USB para ver ...
-
IA obliga a parchear fallos de seguridad al instante
-
Teclado Razer Huntsman V3 TKL
-
Ataques contra PraisonAI por CVE-2026-44338: salto...
-
Microsoft soluciona 138 vulnerabilidades, incluyen...
-
Vulnerabilidades Zero-Day en Windows permiten salt...
-
Nueva vulnerabilidad de Exim BDAT GnuTLS permite a...
-
CVE-2026-33017 de Langflow usado para robar claves...
-
IA desborda a las universidades prestigiosas
-
Fracaso de Google Gemini en cafetería
-
iOS 26.5 trae RCS cifrado entre iPhone y Android
-
DeepMind fusiona el cursor con IA
-
Google lleva Gemini Intelligence a Android
-
AWS soluciona vulnerabilidad de salto de autentica...
-
Fragnesia: Nuevo fallo en el kernel de Linux permi...
-
Guerra en Irán obliga a marca de snacks a eliminar...
-
Grupos iraníes atacan a gigante electrónico de Cor...
-
Repositorio falso de filtro de privacidad de OpenA...
-
Móviles con Gemini Intelligence filtrados
-
Impactante Patch Tuesday incluye 30 vulnerabilidad...
-
Sovereign Tech Fund dona un millón de euros a KDE
-
-
▼
mayo
(Total:
504
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Es muy probable que el próximo email que recibas no esté escrito por una persona. Da igual si usas Gmail, Outlook o cualquier alternativa si... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
ClickFix evoluciona con proxy SOCKS5 de Python de código abierto de hace 10 años
Una campaña de ciberataques que engaña a los usuarios para que ejecuten comandos maliciosos en sus propias computadoras ha tomado un giro peligroso. La técnica, conocida como "ClickFix", ha estado circulando durante algún tiempo, pero un incidente reciente reveló que los atacantes ahora la están combinando con una herramienta de Python de código abierto de hace 10 años para crear una forma de acceso mucho más resistente.
Lo que antes se trataba como un simple error del usuario ahora está evolucionando hacia una intrusión compleja de múltiples capas que puede sobrevivir incluso después de que las herramientas de seguridad intervengan para bloquearla.
El ataque comienza cuando un usuario visita un sitio web comprometido que presenta un aviso falso, convenciendo al visitante de pegar y ejecutar un comando de PowerShell en su propia máquina. Este conocido truco de ingeniería social se ha utilizado en muchas campañas anteriores.
Lo que hace que esta versión sea diferente es lo que sucede después de que se ejecuta ese único comando. En lugar de detenerse en una sola llamada, la intrusión establece un acceso automatizado que continúa mucho tiempo después del clic inicial.
Investigadores de seguridad de ReliaQuest identificaron esta campaña actualizada en abril de 2026, señalando que marcó el primer caso observado donde la ejecución de ClickFix se combinó con PySoxy, una herramienta de proxy SOCKS5 basada en Python publicada originalmente hace aproximadamente una década.
Los analistas describieron el resultado como una "cadena de acceso duradera", una que continuaba ejecutándose incluso después de que las conexiones salientes fueran bloqueadas por los controles de seguridad. Solo ese detalle indica un cambio significativo en el comportamiento de esta amenaza.
ClickFix despliega PySoxy
La lección central aquí es algo que los defensores suelen pasar por alto: bloquear la conexión de un atacante no significa que el ataque haya terminado. En el incidente estudiado, ambos canales de acceso del atacante fueron cortados por los controles de endpoint; sin embargo, una tarea programada ya presente en la máquina afectada siguió intentando relanzar el script malicioso durante horas.
Este mecanismo de persistencia transformó un solo error del usuario en un compromiso continuo. Los afiliados de ransomware podrían eventualmente comenzar a tratar a ClickFix como un punto de entrada primario junto con otros métodos de acceso establecidos.
Las similitudes operativas entre esta cadena y las intrusiones de SocGholish, que también dependen de la ingeniería social antes de pasar al reconocimiento y al acceso basado en proxies, sugieren que ClickFix está madurando para convertirse en una plataforma seria de entrega de pre-ransomware.
Una vez que se ejecutó el comando inicial de PowerShell, el atacante se movió rápidamente para construir un soporte más profundo. Se plantó una tarea programada que relanzaba un script preparado desde la carpeta C:\ProgramData aproximadamente cada 40 minutos. Ese script funcionaba como una herramienta de acceso remoto ligera, consultando el servidor del atacante cada tres segundos, ejecutando comandos en el host y enviando los resultados de vuelta.
Después de establecer este acceso basado en PowerShell, el atacante pasó al reconocimiento. Se utilizaron herramientas integradas de Windows para enumerar las membresías de grupo, identificar controladores de dominio y mapear otras máquinas en la red. Solo después de confirmar que se podía alcanzar un servidor de preparación, el atacante introdujo PySoxy, descargando el código de bytes de Python compilado y ejecutándolo con argumentos de proxy que apuntaban a una dirección IP externa separada.
PySoxy le dio al atacante una segunda ruta independiente de regreso al host. Este segundo canal utilizaba una infraestructura y un patrón de tráfico diferentes al primero, lo que significa que un cierre completo de la conexión C2 de PowerShell aún dejaría abierta esta segunda puerta. El atacante había construido dos rutas de acceso separadas en el mismo entorno.
Por qué bloquear una llamada no es suficiente
La conclusión más importante de esta campaña es que la contención requiere más que bloquear una sola conexión. Los analistas recomiendan aislar completamente el host afectado y revisar todas las tareas programadas, particularmente aquellas creadas poco después de una actividad sospechosa de PowerShell. Cualquier tarea que apunte a scripts en directorios no estándar como ProgramData debe tratarse como un hallazgo de alta prioridad.
Quienes respondan al incidente deben buscar ejecuciones de Python vinculadas a argumentos de línea de comandos de estilo proxy, específicamente banderas como -ssl, -remote_ip y -remote_port, así como archivos .pyc compilados en ubicaciones inesperadas. Eliminar los scripts preparados, los entornos de ejecución de Python y los archivos de código de bytes es tan crítico como bloquear la conexión de red, ya que cualquier componente remanente puede reiniciar la cadena. Tratar un incidente de ClickFix como un compromiso total potencial, en lugar de un error de usuario aislado, es ahora la única respuesta adecuada.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 185.205.211[.]217 | IP de infraestructura de ClickFix |
| Dirección IP | 206.206.103[.]120 | C2 de RAT de PowerShell |
| Dirección IP | 206.206.103[.]106 | IP de preparación y exfiltración |
| Dirección IP | 167.99.158[.]97 | IP de destino del proxy PySoxy |
| Dominio | strapness[.]com | Dominio de preparación de ClickFix |
| Dominio | abledom[.]net | Dominio C2 secundario |
| Dominio | overlateise[.]com | Alojó el script de ClickFix (/api/jquery[.]js) inyectado en el sitio comprometido |
Nota: Las direcciones IP y los dominios han sido "desactivados" intencionalmente (por ejemplo, [.]) para evitar la resolución o el hipervínculo accidental. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/clickfix-evolves-with-python-socks5-proxy/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.