Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3574
)
-
▼
mayo
(Total:
271
)
-
Falso instalador de OpenClaw para robar criptomone...
-
JDownloader ha confirmado que su web fue hackeada
-
Despliegan RAT modular que roba credenciales y cap...
-
TCLBANKER: el troyano bancario que ataca plataform...
-
Incidente de seguridad en Škoda expone datos de cl...
-
GeForce GTX serie 10: diez años de Pascal
-
Aplicaciones de historial de llamadas falsas estaf...
-
Arm creará una CPU bestial de 500 núcleos para gan...
-
ChatGPT y su impacto en el cerebro
-
UE facilitará cancelaciones online desde 2026
-
AMD Instinct MI430X, un acelerador diseñado para i...
-
Falsos técnicos informáticos acaban en prisión por...
-
Alerta por web falsa de Claude con malware
-
Batería cuántica: carga en un segundo y dura una s...
-
Samsung y SK Hynix buscan el futuro de la DRAM por...
-
Micron lanza el SSD más grande del mundo de 245 TB
-
JDownloader distribuyó malware en Windows 11 y Linux
-
Las placas base son el nuevo componente en riesgo
-
Un ciberataque global que afecta a universidades e...
-
Meta da marcha atrás con el cifrado de Instagram y...
-
Quasar Linux RAT roba credenciales de desarrollado...
-
ChatGPT avisará a un contacto de confianza en situ...
-
NVIDIA llevará mini centros de IA a los hogares
-
Excontratista del gobierno, condenado por borrar d...
-
Nuevo backdoor PamDOORa para Linux emplea módulos ...
-
China pretende fabricar más del 70% de sus obleas ...
-
Gen Z prefiere microalquileres a suscripciones
-
IA: Todos seremos jefes
-
Google lanza nueva IA para competir con OpenAI
-
Campaña de extorsión de ShinyHunters logra hackear...
-
Snapdragon 6 Gen 5 y 4 Gen 5: mayor fluidez y rapi...
-
Aphelion, un juego de aventuras de ciencia ficción...
-
Spotify integra podcasts generados por IA
-
Fitbit desaparece y pasa a Google Health
-
Google renueva sus búsquedas con cinco funciones d...
-
Filtración de datos en Zara expone información per...
-
DIGI define quién recibirá el router WiFi 7
-
Fitbit Air: la pulsera sin pantalla de Google
-
Sensores de neumáticos permiten hackear coches
-
Anthropic usa Colossus de SpaceX para potenciar Cl...
-
Exploit de Dirty Frag en el kernel de Linux permit...
-
Explotan vulnerabilidad RCE de PAN-OS para obtener...
-
Samsung lanza One UI 8.5
-
OpenAI lanza GPT-5.5 Instant como modelo predeterm...
-
Cambridge desarrolla tecnología láser que alcanza ...
-
iPhone Fold facilitará las reparaciones
-
Los investigadores de Harvard dicen que la computa...
-
Lisa Su prevé subida de precios en RAM, SSD y GPU
-
Mira Murati acusa a Sam Altman de crear caos y eng...
-
Chrome instala Gemini Nano sin permiso
-
Director del FBI: La IA frenó múltiples ataques co...
-
Sitio web falso de Claude AI distribuye nuevo malw...
-
Consejos Día Mundial de la Contraseña 2026
-
LaLiga acaba bloqueada por el sistema que impulsó ...
-
Adolescente carga el móvil con su hámster
-
Hoy es el Día Mundial de la Contraseña
-
Australia alerta sobre ataques de ClickFix para pr...
-
Paquetes de PyPI distribuyen el malware ZiChatBot ...
-
El troyano PCPJack aprovecha 5 CVE para propagarse...
-
Ivanti alerta sobre una nueva vulnerabilidad de EP...
-
Europa prohíbe IA de deepfakes sexuales
-
PCIe 8.0 alcanzará 120.000 MB/s en SSD
-
Casi un mes explotando una vulnerabilidad zero-day...
-
Condenan a 6,5 años de cárcel al operativo de la b...
-
Estudiante hackea trenes de Taiwán con SDR por no ...
-
Apple pagaría hasta 80€ a usuarios de iPhone por d...
-
Windows 11 KB5083769 rompe copias de seguridad en ...
-
Niños burlan verificación de edad con ayuda paterna
-
DDR6: ¿memorias nuevas sin chips?
-
El conflicto de Elon Musk con OpenAI
-
AMD X970E: el chipset de gama alta para Zen 6 será...
-
PCIe 8.0 no solo será más rápido: PCI-SIG estudia ...
-
La botnet xlabs_v1 basada en Mirai utiliza ADB par...
-
Claude aprende solo mediante sueños de IA
-
Grave fallo en el sandbox de vm2 de Node.js permit...
-
NVIDIA celebra el 10° aniversario de las GeForce G...
-
Anthropic amplía límites y elimina restricciones e...
-
Google suma Reddit y redes sociales a su IA de bús...
-
Nueva vulnerabilidad de DoS en Cisco obliga a rein...
-
Edge guarda contraseñas en texto plano en la memoria
-
Nuevo malware de Quasar Linux acecha a desarrollad...
-
Fraude electoral en Canadá: la trampa del canario
-
Chrome instala IA de 4 GB sin permiso
-
Matemáticas y visión artificial para calcular el t...
-
Países Bajos crea su propio GitHub para ganar sobe...
-
UniGetUI: gestiona el software de tu PC Windows
-
Chrome descarga sin permiso modelo IA de 4GB: podr...
-
ShinyHunters asegura haber robado datos de 8.800 c...
-
Palo Alto Networks advierte sobre un zero-day de R...
-
La IA agéntica no quitará ventas a las GPU: Lisa S...
-
Nada de pantallas antes de los seis años
-
Windows 11 obligará el uso de Passkeys y PIN
-
BCE alerta sobre billetes de 50 euros falsos
-
OpenAI lanza GPT-5.5 Instant
-
Espías cibernéticos de Irán se hacen pasar por cri...
-
La popular app Daemon Tools con malware
-
Gemini copia el modo Cowork de Claude para superar...
-
Jefe de Alexa quiere que su asistente de IA tenga ...
-
Cárcel y multa por foto de lobo con IA en Corea de...
-
Backdoor detectado en DAEMON Tools
-
-
▼
mayo
(Total:
271
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
LaLiga ha sufrido un bloqueo accidental de sus propios dominios debido al sistema de filtrado de Movistar , diseñado para combatir la pirat... -
Un script de Chris Titus Tech optimiza Windows 11 en menos de un minuto , eliminando bloatware, telemetría y Copilot con un solo comando p... -
.png)
Grupo ShinyHunters robaron datos de más de 197,000 clientes de Zara a través de un antiguo proveedor tecnológico. Aunque se filtraron correo...
Despliegan RAT modular que roba credenciales y captura pantallas
Una campaña de malware recién identificada está atacando a altos ejecutivos e investigadores gubernamentales en todo el sudeste asiático, utilizando un Troyano de Acceso Remoto (RAT) modular capaz de robar credenciales, capturar pantallas y mantener una persistencia profunda en los sistemas infectados.
La operación, denominada Operation GriefLure, está ejecutando dos campañas simultáneas que afectan al sector de telecomunicaciones vinculado al ejército de Vietnam y a la industria sanitaria de Filipinas.
Lo que hace que esta amenaza sea especialmente alarmante es la forma en que llega a las víctimas. Los atacantes no están adivinando ni inventando historias. En un caso, recopilaron documentos legales reales de una demanda en curso por brecha de datos, incluyendo informes policiales firmados, cartas de admisión corporativas y registros médicos personales.
Las víctimas que abrían el archivo recibían un documento completamente auténtico en pantalla, sin ninguna señal de que algo hubiera salido mal entre bastidores.
Los investigadores de Seqrite Labs identificaron y nombraron la campaña, señalando que el compromiso total del sistema se completa en menos de 10 segundos sin indicadores visibles para la víctima. El malware llega dentro de un archivo comprimido anidado entregado a través de un correo electrónico de spear phishing dirigido, y su cadena de infección está diseñada para evadir la mayoría de las herramientas de seguridad convencionales.
La operación se dirige a dos grupos simultáneamente. La primera campaña se centra en altos ejecutivos de Viettel Group, el mayor operador de telecomunicaciones de Vietnam que opera bajo el Ministerio de Defensa Nacional, así como en investigadores de delitos cibernéticos de la Policía Provincial de Thanh Hoa.
La segunda se dirige al personal de cumplimiento y auditoría del St. Luke's Medical Center en Filipinas, utilizando una denuncia de informante fabricada que invoca un presunto fraude financiero y violaciones de acreditación por un valor superior a 1,5 millones de PHP.
Ambas campañas utilizan la misma infraestructura subyacente y carga útil, lo que confirma un único actor de amenazas que ejecuta una operación de ataque modular coordinada en dos países al mismo tiempo.
RAT Modular con Robo de Credenciales y Captura de Pantalla
En el núcleo técnico de esta campaña se encuentra un sofisticado RAT modular que actúa como un implante multiuso. Una vez cargado en la memoria a través de una cadena de ejecución por capas, recopila credenciales de los navegadores web, incluidos los datos de inicio de sesión almacenados de Chrome, cookies e historial. También ataca configuraciones de clientes FTP, herramientas de acceso remoto como Sunlogin y ToDesk, y archivos de sesión SSH de Xshell, lo que lo convierte en una amenaza seria para cualquier persona que gestione el acceso privilegiado al sistema.
El módulo de captura de pantalla recupera las dimensiones completas de la pantalla, tiene en cuenta las configuraciones de múltiples monitores y ajusta dinámicamente la resolución de la imagen según las condiciones de la red antes de transmitir una imagen BMP reconstruida al servidor de comando y control del atacante. El malware también escanea todos los procesos en ejecución para crear un perfil de los productos de seguridad instalados y luego ajusta su comportamiento en consecuencia para reducir la detección.
.webp)
La carga útil nunca se almacena como un archivo completo dentro del archivo comprimido. Fragmentos binarios disfrazados de archivos de documentos ordinarios se ensamblan en tiempo de ejecución utilizando el comando de copia nativo de Windows, y un mecanismo basado en el tiempo aleatoriza el hash de la carga útil en cada ejecución para derrotar el escaneo basado en firmas. El ejecutable final se inyecta entonces en un proceso de Windows confiable, haciendo que parezca una actividad normal del sistema para la mayoría de las herramientas forenses.
Infraestructura, Atribución y Medidas Defensivas
El malware se comunica con un dominio de comando y control predefinido, whatsappcenter[.]com, alojado en la dirección IP 38[.]54[.]122[.]188. Este servidor se encuentra dentro de KAOPU-HK, una red con sede en Hong Kong con un historial documentado de proporcionar alojamiento resistente al abuso para actores de amenazas en Asia-Pacífico. La inteligencia pasiva etiqueta al host como infraestructura a prueba de balas (bulletproof), un fuerte indicador de seguridad operativa deliberada.
Los investigadores de Seqrite estiman, con una confianza de moderada a alta, que esta campaña está vinculada a un grupo de amenazas con nexo en China. Los indicadores que lo respaldan incluyen el uso de alojamiento chino a prueba de balas, una lista de detección de seguridad integrada que enumera proveedores como 360Safe, Qianxin y Sangfor, el objetivo directo de los datos de WeChat dentro del módulo de recolección de credenciales y una huella más amplia en el sudeste asiático que abarca las telecomunicaciones militares y la salud.
Las organizaciones de telecomunicaciones, gobierno y salud en todo el sudeste asiático deben tratar esto como una amenaza activa y en evolución. Se recomienda a los equipos de seguridad bloquear el dominio y la IP de C2 conocidos, monitorear las ejecuciones de archivos LNK que invoquen ftp.exe, marcar cualquier proceso que deposite archivos doc fragmentados en el directorio Público y auditar los sistemas en busca de señales de que explorer.exe se haya reiniciado bajo un contexto de seguridad restringido. Debido a que este ataque utiliza documentos legales genuinos y binarios confiables del sistema, la formación estándar de concienciación de los usuarios por sí sola no lo detendrá.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Hash de archivo (SHA256) | 35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43 | Dropper LNK — señuelo temático de Viettel (Campaña 1) |
| Hash de archivo (SHA256) | bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b | Dropper LNK — señuelo Whistleblowing_Report_SLMC (Campaña 2) |
| Hash de archivo (SHA256) | 197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6 | LNK — archivo señuelo de ID Nacional de Filipinas |
| Hash de archivo (SHA256) | f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416 | LNK — señuelo iPad_Pro_Display_Spec_Final_CONFIDENTIAL.docx |
| Hash de archivo (SHA256) | bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b | 360.8.dll — cargador de shellcode multi-etapa |
| Hash de archivo (SHA256) | 61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f | th5znehec.exe — ejecutable malicioso |
| Hash de archivo (SHA256) | ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387 | a.dll — componente DLL malicioso |
| Hash de archivo (SHA256) | 91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067 | SlULIRDJOiq — artefacto de carga útil sin nombre |
| Hash de archivo (SHA256) | a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b | Script de lotes — ensamblaje de carga útil (variante 1) |
| Hash de archivo (SHA256) | 7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d | Script de lotes — ensamblaje de carga útil (variante 2) |
| Dominio | whatsappcenter[.]com | Dominio C2 camuflado como servicio legítimo |
| Dirección IP | 38[.]54[.]122[.]188 | Servidor C2 alojado en infraestructura a prueba de balas KAOPU-HK |
Nota: Las direcciones IP y los dominios han sido desinfectados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de enlaces. Solo debes reactivarlos dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-deploy-modular-rat-with-credential-theft/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.