Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4079
)
-
▼
mayo
(Total:
776
)
-
El FBI alerta sobre Kali365 ante el aumento del ph...
-
Google expone fallo grave en Chromium
-
Discord activa cifrado de extremo a extremo en vid...
-
YouTube Premium Lite gratis con el plan Google AI Pro
-
España y LaLiga bajo sospecha por incumplir la DSA
-
NVIDIA se lanza a por el mercado CPU con Vera y am...
-
Las CORSAIR Vengeance DDR5 se actualizan en silenc...
-
La IA no reemplazará todos los empleos
-
Detenido en Canadá el operador de la botnet Kimwol...
-
ZeroWriter Fold: el portátil solo para escribir
-
RHEL 10.2 potencia IA, modo imagen y seguridad pos...
-
Vulnerabilidades críticas en Chrome permiten ejecu...
-
SUSE pide a la UE priorizar el código abierto
-
Nvidia superará a Intel y AMD en CPUs
-
Policía interviene el servicio “First VPN”, utiliz...
-
Robots de Figure clasifican paquetes sin pausa
-
PC con RTX 5080 silencioso termina siendo un horno
-
Fraude de clics en Android: 455 apps maliciosas
-
Data Brokers de la Dark Web venden filtraciones an...
-
Requisitos mínimos de GTA VI para PC
-
PS5 hackeada ejecuta Linux y juegos AAA
-
Malware TamperedChef usa apps productivas firmadas...
-
Nuevos 0-days de Microsoft Defender explotados act...
-
Vulnerabilidad de 9 años en el kernel de Linux per...
-
Demandan a Team Group por 1,1 millones debido a pu...
-
Sound Blaster AE-X: Creative vuelve al mercado de ...
-
AMD responde a NVIDIA y Apple con Ryzen AI Halo: u...
-
Vulnerabilidad crítica de Cisco Secure Workload pe...
-
AMD Ryzen AI Halo: IA local en tu PC
-
TDF defiende ODF frente a Microsoft
-
Guía de Windows 11 Insider
-
Una wikipedia de tu vida para dejar un buen legado...
-
Google crea mundos reales con IA con Project Genie
-
Publicado exploit PoC de vulnerabilidad DirtyDecry...
-
OpenAI planea salir a bolsa con valoración récord
-
Starlink sube precios en España
-
Publicidad intrusiva en Android Auto via Google Maps
-
Nuevos juegos en GeForce Now
-
Stroustrup critica la lentitud de Python frente a C++
-
Flipper presenta el nuevo Flipper One Modular Linu...
-
DIGI llega al Reino Unido
-
Botnet Void usa contratos inteligentes de Ethereum...
-
IA ya supera el Test de Turing
-
Filtradas 46 mil contraseñas en texto plano tras b...
-
Microsoft alerta sobre dos vulnerabilidades de Def...
-
Vulnerabilidad en Claude Code expone credenciales ...
-
OpenAI resuelve problema matemático de hace 80 años
-
Nvidia ya no reporta ventas de gráficas como segme...
-
Malware BadIIS secuestra servidores IIS y redirige...
-
Filtrados repositorios internos de GitHub mediante...
-
Google reinventa la búsqueda con IA
-
Microsoft libera herramientas de código abierto pa...
-
Microsoft desactiva el servicio de firmas de malwa...
-
Vulnerabilidad crítica en Drupal Core
-
Vulnerabilidad de FreePBX permite acceso a portale...
-
Fallo de escalada de privilegios en Pardus Linux p...
-
Vulnerabilidad de ExifTool permite comprometer Mac...
-
Dos ejecutivos estadounidenses se declaran culpabl...
-
Demanda de 100 millones contra Pizza Hut por siste...
-
Nuevo ataque GhostTree bloquea EDR y evita análisi...
-
Revolut detecta usuarios de IPTV pirata mediante l...
-
Extension maliciosa de Nx Console para VS Code com...
-
AMD presenta los procesadores EPYC 8005 «Sorano» c...
-
Nueva vulnerabilidad de NGINX en JavaScript (njs) ...
-
Teleyeglasses: el origen de las gafas inteligentes
-
NASA sufre estafa de phishing china
-
Netflix dificulta la búsqueda de contenido
-
En la India usan páginas falsas de impuestos para ...
-
FBI: Las estafas con cajeros de criptomonedas cost...
-
Nueva IA crea canciones en segundos
-
Microsoft desmantela red de firmas de malware util...
-
La GPU Lisuan LX 7G100 Founders Edition: GPU china...
-
Operación Ramz incauta 53 servidores vinculados a ...
-
Los usuarios de PC apenas compran placas base, las...
-
Desmantelan red de fraude publicitario en Android ...
-
Nuevo RPG del Señor de los Anillos
-
Microsoft libera RAMPART y Clarity para reforzar l...
-
Vulnerabilidad PinTheft en Linux permite acceso ro...
-
Fedora elimina paquetes de Deepin por seguridad
-
Heroic Launcher mejora modo consola y personalización
-
Laurene Powell, viuda de Steve Jobs, ha gastado má...
-
Bots representan el 53% del tráfico web global
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Meta reubica a 7.000 empleados en IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
TeamPCP compromete Microsoft Python Client Durable...
-
Vulnerabilidades críticas de PostgreSQL permiten e...
-
MSI GeForce RTX 5080 16G The Mandalorian and Grogu...
-
Usan herramienta de Windows MSHTA para distribuir ...
-
Google Gemini Omni para crear vídeos hiperrealistas
-
Vulnerabilidad crítica en Apache Flink permite eje...
-
IA colapsa el sistema de errores de Linux
-
Samsung lanza gafas inteligentes contra Meta
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
-
▼
mayo
(Total:
776
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Se ha revelada una vulnerabilidad crítica en el kernel de Linux, identificada como CVE-2026-46333 y apodada “ssh-keysign-pwn” . Este fallo ... -
Se ha descubierto una cadena de cuatro vulnerabilidades críticas en OpenClaw , una plataforma de código abierto para agentes de IA autónomo...
Malware Vidar roba credenciales, cookies, carteras cripto y datos del sistema
El malware Vidar, un ladrón de información activo desde 2018, ha vuelto a destacar por utilizar una cadena de ataque sofisticada y multietapa diseñada para evadir las defensas de seguridad modernas. Esta herramienta no solo busca contraseñas, sino que se enfoca en robar credenciales de navegadores, cookies, monederos de criptomonedas y datos del sistema.
Un robador de información activo desde hace mucho tiempo vuelve a ser noticia y, esta vez, apunta a más que simples contraseñas. El malware Vidar, una herramienta de recolección de credenciales que circula desde finales de 2018, ha sido observado ejecutándose a través de una sofisticada cadena de ataque de varias etapas, diseñada para evadir con facilidad las defensas de seguridad modernas.
La amenaza está activa y es capaz de llevarse datos del navegador, cookies de sesión, archivos de carteras de criptomonedas e información sensible del sistema.
Vidar no fue creado desde cero. Fue desarrollado utilizando el código fuente de un robador más antiguo llamado Arkei y se ha convertido en una de las familias de malware comercial más resistentes que se rastrean hoy en día.
Lo que hace que la actividad reciente sea particularmente alarmante no es solo lo que Vidar roba, sino la minuciosidad con la que los atacantes se preparan antes de desplegarlo. Cada paso en la cadena de infección está diseñado para evitar la detección antes de que se ejecute la carga útil real.
.webp)
Los investigadores de LevelBlue, mediante la búsqueda proactiva de amenazas en el entorno de un cliente, descubrieron esta campaña de cargador multietapa. Su telemetría de endpoints y el análisis dinámico revelaron una cadena de procesos que mostraba el enmascaramiento de scripts, la extracción de la carga útil por etapas y la comunicación de comando y control.
.webp)
El descubrimiento resalta cómo familias de malware bien conocidas están siendo envueltas en mecanismos de entrega cada vez más ingeniosos para ampliar su alcance. El ataque comienza con lo que parece, para un usuario desprevenido, una herramienta de activación de software legítima.
Cómo Vidar roba datos sensibles
Una herramienta de hackeo comúnmente abusada llamada MicrosoftToolkit.exe sirve como punto de entrada, engañando a los usuarios para que la ejecuten bajo la creencia de que están activando un software real. Este enfoque impulsado por el usuario reduce la necesidad de correos de phishing o exploits de software, haciendo que la entrada inicial sea más difícil de detectar para los filtros de seguridad tradicionales.
Una vez que la herramienta se ejecuta, un archivo disfrazado llamado Swingers.dot es renombrado como un script de lotes y ejecutado, iniciando una cadena de comandos. El sistema verifica si hay procesos de seguridad activos, extrae componentes adicionales de la carga útil y, finalmente, ejecuta un cargador compilado en AutoIt llamado Replies.scr. Las conexiones salientes a la infraestructura asociada a Vidar confirman entonces que la carga útil final ha sido desplegada y está recolectando datos activamente.
Vidar se enfoca en extraer información que pueda convertirse en beneficio económico o utilizarse para acceder a otros sistemas. Una vez que el cargador completa su trabajo y la carga útil se ejecuta, el malware apunta a credenciales almacenadas en el navegador, cookies de sesión guardadas, archivos de carteras de criptomonedas y datos generales del sistema. Incluso una sola máquina infectada puede entregar a los atacantes una cantidad significativa de información útil.
.webp)
El malware utiliza plataformas públicas como Steam y Telegram como parte de su configuración de comando y control, disfrazando su tráfico como actividad web ordinaria. Construye solicitudes HTTP GET para extraer datos de configuración de estas plataformas antes de proceder con la exfiltración.
Llamadas a HttpOpenRequestA para construir una solicitud HTTP (Fuente – LevelBlue)
También se observaron búsquedas de DNS apuntando a gz.technicalprorj.xyz, resueltas a través de un servidor DNS público, lo que sugiere que los atacantes dependen de una infraestructura dinámica para mantenerse adelantados a las listas de bloqueo.
Evasión de defensas y limpieza post-ataque
Una de las características más notables de esta campaña es la exhaustividad con la que el malware borra sus rastros después de ejecutarse. Una vez completada la extracción de la carga útil y enviados los datos, MicrosoftToolkit.exe elimina cada archivo que dejó durante la ejecución, restablece los atributos de los archivos, libera la memoria asociada y termina su propio proceso. Esto deja muy poco para los investigadores, haciendo que la respuesta tradicional a incidentes sea mucho más difícil.
.webp)
El malware también busca depuradores y herramientas de monitoreo de seguridad antes de proceder, utilizando funciones de Windows de bajo nivel para detectar entornos de análisis. Si detecta que está siendo observado, puede alterar su comportamiento en consecuencia.
Esta capacidad de antianálisis, combinada con la rutina de limpieza y el uso de herramientas legítimas de Windows a lo largo de la cadena, otorga a esta campaña un nivel de sofisticación de moderado a alto, a pesar de basarse en un robador comercial en su núcleo.
.webp)
LevelBlue recomienda que cualquier sistema afectado sea aislado inmediatamente de la red para detener más pérdidas de datos. Se aconseja encarecidamente el reimageo completo del sistema dada la capacidad del malware para descargar cargas útiles adicionales.
Todas las credenciales expuestas, incluidas contraseñas del navegador, cuentas de correo electrónico, inicios de sesión de VPN y cuentas de administrador, deben ser restablecidas y las sesiones activas cerradas. Imponer la autenticación de múltiples factores en los servicios críticos es igualmente importante. Las organizaciones también deben monitorear el tráfico saliente y las consultas DNS en busca de conexiones inusuales, y restringir la ejecución de herramientas no autorizadas para prevenir intrusiones similares.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA256 | fc27479ff929d846e7c5c5d147479c81e483a2ec911bd1501a53aa646a29620d | MicrosoftToolkit.exe |
| SHA256 | d4fe9f48178cdf375a3be30d17f1dc016b5861dff8683f0bb35a0ba8d44f892f | swingers.dot.bat |
| SHA256 | 978ad86c90d85b74947bb627ec24f8bcd26812b500e82f5af202160506ac29c6 | Beds.dot |
| SHA256 | 881619a47b62b52305d92640cc4d4845a279c23a5a749413785fc8fcb0fdf7fb | replies.scr |
| SHA256 | 968ecf51c442ec0ff91f91689ac524e7e8e9eab0c1a2a65cf13e54cf95194efe | D (archivo de carga útil) |
| Dirección IP | 149.154.167.99 | IP C2 asociada a Vidar |
| Dominio | telegram[.]me | Dominio C2 |
| Dominio | gz[.]technicalprorj[.]xyz | Dominio C2 asociado a Vidar |
Nota: Las direcciones IP y los dominios han sido desactivos intencionadamente (ej. [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/vidar-malware-targets-browser-credentials-cookies/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.