Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4805
)
-
▼
mayo
(Total:
1080
)
-
Autoridades neerlandesas desmantelan red de bots q...
-
Vulnerabilidad en WP Maps Pro permite la creación ...
-
La AMD Radeon RX 9070 GRE se lanzará mañana fuera ...
-
IA militar: EE. UU. y China rechazan prohibir arma...
-
Meta lanzará wearables con IA para el trabajo
-
¿AWS agotará el agua de Aragón?
-
Intel Arc G: gaming portátil
-
NVIDIA ya habría creado CPUs
-
iPhone 18 Pro Max: diseño y colores
-
Fedora 42 deja de recibir soporte
-
G.SKILL anuncia su nuevo kit de memoria DDR5 CU-DI...
-
Python lidera el mercado laboral frente a la IA
-
Meta rastrea clics de empleados para su IA e infri...
-
ChatGPT elimina modelo popular
-
China abre la primera escuela de robots humanoides
-
NVIDIA y Microsoft: planes secretos
-
El declive imparable de 23andMe
-
GitLab corrige fallos de Duo AI, DoS y autorizació...
-
IA peligrosa llegaría a Claude Code
-
Microsoft crea super app de IA contra ChatGPT y Cl...
-
Una RX 9070 XT deja de funcionar por culpa de su p...
-
DockSec lleva la IA a la seguridad de contenedores
-
Paquete NuGet malicioso de Sicoob SDK roba contras...
-
Ransomware Gentlemen usa tarea programada de SYSTE...
-
Google refuerza la protección de Chrome para evita...
-
El CEO de Huawei agradece a Estados Unidos por hab...
-
Codex lleva función de Mac a Windows
-
Explotación activa de vulnerabilidad de bypass de ...
-
Herramienta de IA Pentest Swarm con acceso a nmap,...
-
Windows 10 sigue en el 30% de PCs HP
-
Ciberdelincuentes aprovechan fallo crítico en Fort...
-
Xbox pide paciencia pese a la mejora de Game Pass
-
Nueva amenaza vinculada a Rusia: GREYVIBE lanza ci...
-
Paquetes de npm roban secretos de nube y CI/CD
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
-
▼
mayo
(Total:
1080
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
AMD rediseñó el Ryzen 7 5800X3D para su regreso a AM4, integrando una segunda generación de 3D V-Cache debido a complicaciones en la fabri... -
IPTV-org ofrece una lista IPTV con más de 42.000 canales de televisión gratuitos de todo el mundo, incluyendo noticias, deportes, docume... -
.png)
El INCIBE alerta sobre el aumento de robos de cuentas de WhatsApp mediante la técnica de Ghostpairing , permitiendo a ciberdelincuentes ac...
Malware BadIIS secuestra servidores IIS y redirige usuarios a sitios ilícitos
Un peligroso malware conocido como BadIIS ha estado atacando activamente servidores web de Internet Information Services (IIS), secuestrándolos silenciosamente y redirigiendo a visitantes desprevenidos a sitios de apuestas ilegales, plataformas de contenido para adultos y otros destinos ilícitos.
Los ataques han persistido durante años en la región de Asia-Pacífico y más allá, poniendo a miles de sitios web legítimos y a sus usuarios en grave riesgo.
BadIIS funciona implantando un módulo malicioso dentro del software del servidor IIS que se ejecuta silenciosamente en segundo plano. Una vez instalado, intercepta el tráfico web que fluye a través del servidor comprometido y redirige a los visitantes sin que estos se den cuenta.
El servidor sigue pareciendo normal desde el exterior, lo que hace que la detección sea mucho más difícil para los administradores y los equipos de seguridad.
Investigadores de Cisco Talos identificaron una variante específica de BadIIS distinguible por cadenas "demo.pdb" incrustadas, lo que reveló que el malware funciona como una herramienta comercial probablemente vendida o compartida entre múltiples grupos de cibercrimen de habla china.
Según el informe compartido, Cisco Talos evaluó con moderada confianza que esta variante opera bajo un modelo de Malware-as-a-Service (MaaS), permitiendo la monetización continua por parte del desarrollador.
La investigación reveló que el malware ha estado en desarrollo activo desde al menos septiembre de 2021, y la muestra compilada más reciente data del 6 de enero de 2026.
Actualizaciones iterativas rápidas, ramificaciones de funciones y tácticas de evasión reactivas dirigidas a proveedores de seguridad específicos como Norton confirmaron que la herramienta sigue bajo mantenimiento activo.
Talos también observó ataques en la región de Asia-Pacífico, Sudáfrica, Europa y América del Norte, demostrando hasta dónde se ha extendido la campaña.
El atacante detrás de la campaña opera bajo el alias "lwxat", un nombre incrustado en toda la herramienta de construcción, los mecanismos de autenticación e incluso en las cadenas de agente de usuario HTTP en vivo durante las comunicaciones activas del malware.
Los artefactos de la ruta PDB apuntaron además a una compilación personalizada adaptada para un cliente específico, indicando que esta variante de BadIIS fue construida a medida para ciertos clientes y reforzando el modelo de negocio MaaS.
El malware BadIIS secuestra servidores IIS
La funcionalidad principal de BadIIS se centra en una herramienta de construcción dedicada que los actores de amenazas utilizan para generar archivos de configuración personalizados, redireccionadores de JavaScript y scripts de enlaces inversos PHP, para luego inyectar esos parámetros directamente en los binarios de BadIIS.
El constructor ofrece cuatro capacidades principales: redirección de tráfico a sitios ilícitos, proxy inverso para la manipulación de rastreadores de motores de búsqueda, secuestro total del contenido del sitio web comprometido e inyección de enlaces inversos internos y externos para el fraude de SEO malicioso.
Versión de secuestro de sitio personalizada que redirige a los usuarios según el idioma del navegador (Fuente – Cisco Talos)
La redirección de tráfico se gestiona inyectando redireccionadores basados en JavaScript en la sesión del navegador de la víctima, enviando forzosamente a los usuarios legítimos a infraestructuras de spam, como plataformas de apuestas ilegales y sitios web de contenido para adultos.
Para los rastreadores de motores de búsqueda, BadIIS actúa como un proxy inverso, obteniendo contenido ilícito del backend de comando y control del atacante y sirviéndolo como si perteneciera al sitio web legítimo.
.webp)
La función de secuestro de contenido incluso permite a los actores de amenazas configurar qué porcentaje del tráfico se ve afectado y extraer dinámicamente metadatos de título, descripción y palabras clave maliciosas desde una URL remota.
Un ecosistema MaaS construido para escalar
Más allá del binario central de BadIIS, Cisco Talos descubrió una suite completa de herramientas auxiliares desarrolladas por el mismo autor, incluyendo instaladores basados en servicios, componentes dropper y mecanismos de persistencia.
Estas herramientas aseguran que BadIIS se reactive automáticamente cada vez que el servidor IIS comprometido se reinicie, haciendo que la limpieza manual sea mucho más difícil.
El malware utiliza codificación Base64 personalizada y ofuscación XOR de un solo byte para ocultar las direcciones del servidor de comando y control a los escáneres de seguridad.
Flujo de trabajo de instalación (Fuente – Cisco Talos)
Una de las herramientas de persistencia suplanta servicios legítimos de Windows, como FaxService o AudiosService, para evitar levantar sospechas durante las revisiones de seguridad rutinarias.
Otra herramienta actúa como un dropper de inicialización de módulos, empaquetando las cargas útiles de DLL maliciosas dentro de un ejecutable independiente etiquetado como "IIS32" e "IIS64" dentro de sus recursos.
Juntos, estos componentes forman un ecosistema modular y escalable diseñado para el acceso sostenido y los ingresos continuos.
Se recomienda encarecidamente a los administradores de servidores auditar regularmente los módulos de IIS instalados y revisar el archivo applicationHost.config del servidor IIS en busca de entradas desconocidas o no autorizadas.
Monitorear las conexiones salientes inesperadas desde los servidores web y mantener actualizados los productos de seguridad para detectar firmas específicas de BadIIS también te ayudará a reducir la exposición a esta amenaza.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Firma de Malware | Win.Malware.BadIIS-10069981-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069988-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069984-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069985-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Regla SNORT (SID) | 1:66400, 1:66439, 1:66438 | Reglas Snort2 que detectan y bloquean el tráfico de BadIIS |
| Regla SNORT (SID) | 1:66400, 1:301498-1 | Reglas Snort3 que detectan y bloquean el tráfico de BadIIS |
| Cadena PDB | demo.pdb | Cadena incrustada que identifica la variante MaaS de BadIIS |
| Cadena PDB / Alias Actor | lwxat | Alias del actor de amenazas incrustado en el constructor, config y cadenas de agente de usuario HTTP |
| Nombre de Archivo | IIS32 / IIS64 | Cargas útiles DLL de BadIIS nombradas dentro del recurso del dropper |
| Nombre de Archivo | config.txt | Archivo de configuración leído por el instalador del servicio BadIIS |
| Nombre de Archivo | module.txt | Archivo de almacenamiento temporal utilizado para guardar la lista de módulos de IIS |
| Nombre de Servicio Windows | Winlogin | Nombre de servicio de Windows falso utilizado para la persistencia por la herramienta de instalación |
| Cadena User-Agent | lwxatisme | Cadena de agente de usuario HTTP personalizada utilizada durante las comunicaciones C2 |
| Artefacto de Constructor | Patrón de ruta de carpeta “demo.pdb” | Rutas de construcción C:\Users\Administrator\Desktop\ que revelan el entorno del desarrollador |
| Nombre de Carpeta | dll-no904 | Directorio de construcción de resolución de problemas identificado en las rutas PDB |
| Etiqueta de Configuración | lw\xat (alias xshen) | Cadena de ruta PDB que hace referencia a una compilación personalizada para el cliente “xshen” |
Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/badiis-malware-turns-hijacks-iis-servers/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.