Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3975
)
-
▼
mayo
(Total:
672
)
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
WD DC HC6100 UltraSMR, así son los primeros discos...
-
Firefox añade copia de seguridad local a Linux
-
Intel va a por el MacBook Neo con Project Firefly:...
-
Cirugía para parecerse a la IA
-
Vulnerabilidad crítica de Marimo permite ejecución...
-
WWDC 2026: novedades de iOS 27 y Siri IA
-
Nova Lake-S: salto masivo en rendimiento
-
IA reemplazará empleos en 18 meses según Microsoft
-
Intel Nova Lake tiene muestras de ingeniería lista...
-
Malware de macOS instala falso actualizador de Goo...
-
Linux ya disponible en más PS5
-
Cadena de malware UAC-0184 usa bitsadmin y archivo...
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Comprometen paquetes de @antv en ataque de npm Min...
-
China habría cerrado la puerta a la entrada de grá...
-
Administrador de CISA expone credenciales de AWS G...
-
Apple implementará IA para corregir mensajes
-
Intel y socios crean MacBook barato contra Apple
-
Publicado el PoC de DirtyDecrypt para la vulnerabi...
-
Utilizan routers Four-Faith para botnet
-
Edge deja de cargar contraseñas al iniciar
-
Cuidado: la IA puede robar tus huellas dactilares ...
-
GitHub Action comprometida filtra credenciales a d...
-
Atacantes usan Cloudflare para exfiltrar archivos ...
-
Detectan un fallo en Android que expone tu conexió...
-
Sony dejará de lanzar exclusivos en PC
-
Gen Z recupera el Discman por Spotify
-
Compañía Aérea prohíbe robots humanoides en sus vu...
-
Jefe de IA de Microsoft predice robots en oficinas...
-
Microsoft eliminará la tecla Copilot de Windows 11
-
Drupal lanzará actualizaciones críticas de segurid...
-
Movistar y Sony prueban 5G ultrarrápido en España
-
Novedades de Gemini en el Google I/O
-
Microsoft publica Azure Linux 4.0
-
Lo que publicas en Instagram lo están usando para ...
-
Microsoft confirma que hay problemas con las actua...
-
A falta de días para la huelga se filtra que Samsu...
-
Vulnerabilidades en el gateway de correo SEPPMail ...
-
LineShine, el super ordenador de China con 2,4 mil...
-
Claude Mythos halla fallos críticos en sistemas y ...
-
Mythos crea exploits PoC en investigación automati...
-
UE 5.8 lleva Ray Tracing a Switch 2
-
Barreras a la reparación de productos
-
Usan cuentas de Microsoft Entra ID para robar dato...
-
Grabaron su propio ciberataque en Teams
-
PlayStation Plus sube sus precios
-
Etiquetas populares de GitHub Action redirigidas a...
-
Las gafas inteligentes de Ray-Ban Meta permitirán ...
-
IA satura la lista de seguridad de Linux
-
Linux suma Nvidia Reflex y AMD Anti-Lag para todo GPU
-
Gemini supera a ChatGPT con su nuevo nivel de pens...
-
El test de Lovelace es una versión más exigente de...
-
Reaper: el malware que roba contraseñas y billeter...
-
Cómo borrar tus datos de Claude
-
IA dispara precio eléctrico en EE.UU. un 76%
-
Otro paquete de npm cae víctima de un clon de Shai...
-
Vulnerabilidad crítica en plugin Burst Statistics ...
-
Malta regalará ChatGPT Plus bajo una condición: qu...
-
WhatsApp lanza mensajes temporales inteligentes
-
Musk pierde juicio contra OpenAI
-
Grok Build: la IA de Elon Musk que programa por ti
-
NVIDIA Vera Rubin consumirá aproximadamente 6.041 ...
-
Un 60% de los jugadores de PC no planea comprarse ...
-
Linux domina los superordenadores
-
Aprende Linux con estos 4 juegos
-
CHUWI UniBook: rival directo del MacBook Neo con C...
-
Operación Ramz de INTERPOL desarticula redes de ci...
-
Estudiantes universitarios abuchean discursos de g...
-
ASUS ROG NUC 16: el mini-PC definitivo
-
Nueva vulnerabilidad escalada local de privilegios...
-
Grafana Labs reconoce que atacantes descargaron su...
-
Vulnerabilidades críticas de n8n exponen nodos a R...
-
Microsoft confirma error 0x800f0922 en actualizaci...
-
Atacantes de NGINX Rift actúan rápido contra servi...
-
Google Maps Lite: la versión ligera de 20 MB
-
Ryzen 5 5500X3D dobla rendimiento en juegos
-
TanStack evalúa restringir las solicitudes de pull...
-
Nuevo Zero-Day 'MiniPlasma' de Windows permite acc...
-
Robot supera a mecánicos cambiando neumáticos
-
Creador de OpenClaw gastó 1,3 millones de dólares ...
-
Malware Fast16, precursor de Stuxnet, alteró simul...
-
Exejecutivo de Microsoft critica Copilot
-
Forza Horizon 6 carga en 4 segundos gracias a Adva...
-
Siri borrará tus conversaciones automáticamente
-
Guitarra con IA que crea música al tocar
-
Cuatro paquetes maliciosos de npm roban claves SSH...
-
Mozilla advierte al Reino Unido: anular las VPN no...
-
ChatGPT vs apps financieras: así funciona su asesor
-
Resident Evil 3.5 en Unreal Engine 5
-
Google Project Zero revela exploit zero-click para...
-
Un millón de sitios de WordPress afectados por fal...
-
Debian 13.5: actualización de Trixie
-
-
▼
mayo
(Total:
672
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ...
Malware de macOS instala falso actualizador de Google para persistencia
Los usuarios de macOS se enfrentan a una amenaza sofisticada llamada “Reaper”, una variante del malware robador de información SHub. Este software malicioso logra mantener el acceso persistente en los equipos infectados mediante la instalación de un falso agente de actualización de software de Google, ocultándose bajo la identidad de marcas confiables para evitar ser detectado.
.png)
Los usuarios de macOS se enfrentan a una amenaza nueva y sofisticada, ya que se ha observado una variante del malware infostealer SHub, apodada "Reaper", desplegando un LaunchAgent falso de actualización de software de Google para mantener un acceso persistente en las máquinas infectadas.
El malware permanece oculto tomando prestada la identidad de marcas en las que los usuarios ya confían, lo que hace que sea excepcionalmente difícil de detectar sin herramientas de seguridad dedicadas.
.png)
Lo que hace que Reaper sea especialmente peligroso es cómo cambia su disfraz en cada etapa de la cadena de infección. Una víctima puede encontrarse con un instalador falso de una aplicación conocida como WeChat o Miro, entregado a través de un dominio con errores tipográficos (typo-squatting) que suplanta la infraestructura de Microsoft.
La carga útil se ejecuta entonces bajo la apariencia de una actualización de seguridad de Apple, y la persistencia se oculta dentro de un directorio que imita el propio sistema de actualización de software de Google. Tres marcas tecnológicas reconocidas mundialmente son explotadas dentro de una sola cadena de ataque.
Investigadores de SentinelOne identificaron y analizaron esta nueva variante de Reaper, señalándola como una continuación de la familia más amplia de malware SHub que ha crecido significativamente en los últimos dos años.
.webp)
SentinelOne dijo en un informe compartido con Cyber Security News (CSN) que el malware "utiliza instaladores falsos de WeChat y Miro como señuelos" y que la cadena de infección cambia su disfraz en cada etapa. El equipo confirmó que la campaña está alojada en un dominio de Microsoft con errores tipográficos y utiliza AppleScript para evadir los métodos de detección estándar.
Una vez que engañan al usuario para que ejecute el instalador falso, el malware utiliza AppleScript para entregar el script de shell inicial en lugar de depender de la ingeniería social estándar de ClickFix.
Actualización de software falsa de Google
Esta variante evita completamente la mitigación de la Terminal de Apple al rutear la ejecución a través del Editor de Scripts. El comando malicioso se construye dinámicamente y se rellena con cadenas codificadas en base64, manteniéndolo oculto debajo de la parte visible de la ventana del Editor de Scripts.
Reaper verifica la configuración local de la víctima consultando el archivo com.apple.HIToolbox.plist para detectar fuentes de entrada en idioma ruso.
Si el host parece estar en una región de la Comunidad de Estados Independientes, el malware envía un evento cis_blocked a su servidor de comando y control y se cierra.
.webp)
De lo contrario, recupera un segundo AppleScript que contiene la lógica de extracción central y lo ejecuta en memoria a través de osascript, sin tocar nunca directamente el disco local.
Antes de finalizar su ejecución inicial, Reaper establece persistencia utilizando una estructura de directorios construida para imitar el servicio legítimo de actualización Keystone de Google.
Coloca un script de bash decodificado en base64 llamado GoogleUpdate dentro de ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/, y luego registra un LaunchAgent utilizando una lista de propiedades llamada com.google.keystone.agent.plist. Esto hace que el script se ejecute silenciosamente cada 60 segundos en segundo plano.
Cada vez que se activa el LaunchAgent, el script envía los detalles del sistema al endpoint /api/bot/heartbeat del atacante.
Si el servidor devuelve una carga útil de "código", el script la decodifica, la escribe en /tmp/.c.sh, la ejecuta con los privilegios del usuario actual y luego la elimina. Esto le da al atacante un canal de ejecución remota persistente y sin rastro en la máquina comprometida.
Robo de Datos y Medidas Anti-Análisis
Reaper incluye una rutina FileGrabber que escanea las carpetas de Escritorio y Documentos en busca de archivos que probablemente tengan valor comercial o financiero.
Se dirige a extensiones como .docx, .wallet, .key, .json y .rdp, junto con imágenes de menos de 1 MB y documentos de menos de 5 MB, limitando la colección total a 100 MB.
Los archivos se preparan en /tmp/shub_random/ antes de dividirse en fragmentos de 10 MB y subirse al servidor del atacante a través de curl.
El malware también se dirige a aplicaciones de escritorio de criptomonedas, incluyendo Exodus, Atomic, Ledger Live y Trezor Suite, mientras recolecta credenciales del navegador y pulsaciones de teclado de desarrolladores.
Anula las funciones de la consola y ejecuta un bucle de depurador continuo para obstruir el análisis de seguridad. Si un investigador abre las DevTools, la página reemplaza su contenido con un mensaje de acceso denegado en idioma ruso.
SentinelOne te aconseja evitar la ejecución de scripts de sitios web que afirmen que se requiere una actualización de seguridad manual, ya que Apple nunca pide a los usuarios que abran el Editor de Scripts y ejecuten comandos.
Debes verificar las URL cuidadosamente y descargar software únicamente desde sitios oficiales de desarrolladores o de la Mac App Store.
Quienes defiendan los sistemas deben estar atentos a la actividad inesperada de AppleScript, conexiones salientes inusuales después de que se ejecute el Editor de Scripts y nuevos LaunchAgents en espacios de nombres vinculados a proveedores de software confiables.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dominio | mlcrosoft[.]co[.]com | Dominio de Microsoft con error tipográfico utilizado para la entrega inicial de la carga útil |
| Dominio | hebsbsbzjsjshduxbs[.]xyz | Endpoint del servidor C2 utilizado para la subida de fragmentos de archivos vía /gate/chunk |
| Ruta de archivo | ~/Library/Application Support/Google/GoogleUpdate.app/Contents/MacOS/GoogleUpdate | Script de persistencia de actualización de software falso de Google |
| Ruta de archivo | ~/Library/LaunchAgents/com.google.keystone.agent.plist | Plist de LaunchAgent malicioso que imita el servicio Google Keystone |
| Ruta de archivo | /tmp/.c.sh | Script de shell temporal escrito y ejecutado por el backdoor, luego eliminado |
| Ruta de archivo | /tmp/shub_<aleatorio>/ | Directorio de preparación para los archivos recolectados antes de la exfiltración |
| Ruta de archivo | /tmp/shub_split.sh | Script de bash utilizado para dividir el archivo recolectado en fragmentos de 10 MB |
| Endpoint API | /api/bot/heartbeat | Endpoint de latido (heartbeat) C2 que recibe telemetría del sistema cada 60 segundos |
| Hash de compilación | d5441713c48ddc b023/62f133bdb36134038278dc48f06224/2531fedbb2bd2 | Identificador de compilación asociado con la variante Reaper |
| Nombre de compilación | ReperHardcoded | Nombre de compilación interno embebido en el binario del malware |
| Hash | Hashc806fcf7203117751460f7/c8e3760e | Hash de archivo asociado con la compilación de Reaper |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/macos-malware-installs-fake-google-software/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.