Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4404
)
-
▼
mayo
(Total:
1080
)
-
Autoridades neerlandesas desmantelan red de bots q...
-
Vulnerabilidad en WP Maps Pro permite la creación ...
-
La AMD Radeon RX 9070 GRE se lanzará mañana fuera ...
-
IA militar: EE. UU. y China rechazan prohibir arma...
-
Meta lanzará wearables con IA para el trabajo
-
¿AWS agotará el agua de Aragón?
-
Intel Arc G: gaming portátil
-
NVIDIA ya habría creado CPUs
-
iPhone 18 Pro Max: diseño y colores
-
Fedora 42 deja de recibir soporte
-
G.SKILL anuncia su nuevo kit de memoria DDR5 CU-DI...
-
Python lidera el mercado laboral frente a la IA
-
Meta rastrea clics de empleados para su IA e infri...
-
ChatGPT elimina modelo popular
-
China abre la primera escuela de robots humanoides
-
NVIDIA y Microsoft: planes secretos
-
El declive imparable de 23andMe
-
GitLab corrige fallos de Duo AI, DoS y autorizació...
-
IA peligrosa llegaría a Claude Code
-
Microsoft crea super app de IA contra ChatGPT y Cl...
-
Una RX 9070 XT deja de funcionar por culpa de su p...
-
DockSec lleva la IA a la seguridad de contenedores
-
Paquete NuGet malicioso de Sicoob SDK roba contras...
-
Ransomware Gentlemen usa tarea programada de SYSTE...
-
Google refuerza la protección de Chrome para evita...
-
El CEO de Huawei agradece a Estados Unidos por hab...
-
Codex lleva función de Mac a Windows
-
Explotación activa de vulnerabilidad de bypass de ...
-
Herramienta de IA Pentest Swarm con acceso a nmap,...
-
Windows 10 sigue en el 30% de PCs HP
-
Ciberdelincuentes aprovechan fallo crítico en Fort...
-
Xbox pide paciencia pese a la mejora de Game Pass
-
Nueva amenaza vinculada a Rusia: GREYVIBE lanza ci...
-
Paquetes de npm roban secretos de nube y CI/CD
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
-
▼
mayo
(Total:
1080
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Se ha revelado una vulnerabilidad crítica en la extensión Remote-SSH de Visual Studio Code que permite a los atacantes realizar un salto (p...
Nueva campaña de Vidar Stealer evade EDR y roba credenciales
Ha surgido una nueva y sumamente sigilosa campaña que distribuye el malware Vidar Stealer, dirigida a usuarios de Windows. Esta operación utiliza una cadena de ataque sofisticada diseñada para evadir las defensas de los endpoints (EDR) y robar credenciales sensibles. La comunidad de ciberseguridad ha destacado que el ataque opera con tal discreción que, a menudo, logra completar el robo de datos antes de que la víctima se percate de la intrusión.
Ha surgido una nueva y muy sigilosa campaña que distribuye Vidar Stealer, dirigida a usuarios de Windows con una sofisticada cadena de ataque diseñada para evadir las defensas de los endpoints y recolectar credenciales sensibles.
La campaña ha atraído una atención significativa de la comunidad de ciberseguridad debido a la discreción con la que opera, completando a menudo el robo antes de que la víctima se dé cuenta de que algo va mal.
Vidar Stealer es un malware conocido de robo de información que apareció por primera vez en 2018 como un derivado del stealer Arkei. A lo largo de los años, ha evolucionado hasta convertirse en una herramienta poderosa capaz de extraer contraseñas del navegador, cookies de sesión, datos de billeteras de criptomonedas, tokens de autenticación e información de autorelleno almacenada localmente en las máquinas infectadas.
La última campaña lleva esa capacidad más lejos al incorporar mecanismos de evasión avanzados que le permiten saltarse las herramientas modernas de Detección y Respuesta de Endpoints (EDR) con una consistencia notable.
Investigadores de seguridad de Genians Security Center identificaron la campaña y señalaron que se basa en técnicas de entrega en múltiples etapas, ejecución de scripts ofuscados y el abuso de herramientas legítimas del sistema para evitar dar la alarma.
.webp)
La capacidad de la campaña para mezclarse con la actividad normal del sistema la hace particularmente peligrosa para las organizaciones que dependen únicamente de los métodos tradicionales de detección basados en firmas.
El acceso inicial se logra a través de correos electrónicos de spear-phishing cuidadosamente adaptados para coincidir con el contexto profesional e intereses del destinatario.
Estos mensajes llevan adjuntos comprimidos en ZIP que contienen archivos de acceso directo de Windows disfrazados de documentos de trabajo legítimos. Cuando el objetivo abre el adjunto y ejecuta el archivo de acceso directo, se activa silenciosamente un comando ofuscado en segundo plano sin mostrar ninguna señal visible al usuario.
Evasión de EDR mediante ofuscación por capas
El malware comienza entonces una cadena de descargas de payloads secundarios, desplegando finalmente su componente principal de robo de información en el sistema comprometido. Dado que cada etapa utiliza ofuscación basada en variables de entorno para reconstruir los comandos solo en tiempo de ejecución, las herramientas de análisis estático a menudo no logran identificar la intención maliciosa hasta que es demasiado tarde para que la víctima responda.
.webp)
Uno de los aspectos más notables de esta campaña es cómo evita activar los sistemas de detección basados en el comportamiento. El actor de la amenaza utiliza la expansión de subcadenas basada en variables de entorno para dividir y reensamblar los comandos carácter por carácter, de modo que la cadena de comando completa nunca aparece en texto plano durante la ejecución. Esta técnica obliga a las herramientas de seguridad a evaluar cada fragmento individualmente en lugar de reconocer la intención maliciosa completa detrás de la instrucción.
El ataque también abusa de curl.exe, un binario nativo de Windows, para descargar payloads adicionales desde servidores remotos. El uso de herramientas integradas del sistema operativo de esta manera es una táctica conocida como Living-off-the-Land, que es más difícil de marcar porque las herramientas en sí son componentes legítimos del sistema. Se recupera un paquete Python Embed de una fuente externa confiable para crear un entorno de ejecución silencioso, reduciendo la sospecha vinculada a la actividad de red saliente durante todo el proceso de infección.
Luego se crea una tarea programada con un nombre diseñado para parecer un proceso legítimo del sistema de Microsoft, asegurando que el malware persista tras los reinicios y continúe ejecutándose en intervalos de un minuto. El payload final, un archivo de bytecode de Python compilado disfrazado con una extensión .cat, funciona como una puerta trasera de acceso remoto capaz de ejecutar comandos, recopilar archivos y exfiltrar datos del sistema a la infraestructura controlada por el atacante.
Robo de credenciales y su impacto más amplio
La función principal de Vidar en esta campaña es extraer credenciales de usuario y otros datos sensibles almacenados en navegadores basados en Chromium y aplicaciones similares. Se enfoca en contraseñas almacenadas localmente, cookies de sesión y los archivos de claves cifradas que los navegadores utilizan para proteger los datos de inicio de sesión. El malware utiliza la API CryptUnprotectData de Windows para descifrar estas claves directamente desde el archivo Local State del navegador, otorgándole acceso total a las credenciales guardadas.
.webp)
Durante la investigación se identificaron múltiples dominios de comando y control (C2), distribuidos en diferentes países y proveedores de hosting, lo que dificulta considerablemente el bloqueo basado en infraestructura para los defensores. El alcance de la campaña en diversos sectores resalta la amplitud con la que se están desplegando estas herramientas de robo de credenciales.
Se aconseja a las organizaciones reforzar las capacidades de EDR basadas en el comportamiento para detectar la ejecución de scripts ofuscados y la actividad de descarga en múltiples etapas. Bloquear la ejecución de archivos de acceso directo desde archivos comprimidos, auditar regularmente las tareas programadas y evitar guardar credenciales directamente en los navegadores son pasos concretos que pueden reducir significativamente la exposición a esta amenaza creciente.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dominio | kmot.co[.]kr | Servidor C2 con sede en Corea que aloja payloads maliciosos |
| Dominio | haeundaejugong[.]com | Servidor C2 utilizado para recolectar y exfiltrar datos de usuario |
| Dominio | kumdo[.]org | Servidor C2 secundario para la exfiltración de datos |
| Dominio | nls5950.cafe24[.]com | Infraestructura C2 utilizada en actividad maliciosa relacionada |
| Dominio | hanainternational[.]net | Dominio C2 vinculado a la infraestructura del actor de la amenaza |
| Dominio | mlgpf.ir114[.]net | Dominio C2 asociado a la campaña |
| Dominio | luminix[.]kr | Dominio C2 identificado en archivos maliciosos relacionados |
| Dominio | sunlin[.]org | Dominio C2 observado en la infraestructura del actor de la amenaza |
| Dominio | ezvm[.]kr | Dominio C2 vinculado a la distribución maliciosa |
| Dominio | intobiz[.]kr | Dominio C2 utilizado en la infraestructura de la campaña |
| Dominio | choisy[.]fr | Servidor C2 con sede en Francia observado en la cadena de ataque |
| Dominio | printory[.]kr | Dominio utilizado para alojar malware de bytecode de Python compilado |
| Dominio | udcontest[.]com | Dominio que aloja el webshell utilizado en el ataque de phishing |
| Dominio | ableinfo.co[.]kr | Infraestructura de distribución de archivos maliciosos |
| Dirección IP | 114.207.246[.]156 | Dirección IP compartida entre múltiples dominios de ataque |
| Nombre de archivo | settingenv.cat | Payload de bytecode de Python compilado disfrazado de archivo de catálogo de Windows |
| Nombre de archivo | codeflush.exe | pythonw.exe renombrado y utilizado como host de ejecución de malware sigiloso |
| Nombre de archivo | GX)/M27s.bat | Archivo batch ofuscado utilizado para la ejecución de payloads secundarios |
| Nombre de archivo | ms3360.bat | Variante de archivo batch utilizada en la cadena de ejecución ofuscada |
| Nombre de archivo | yS1825.bat | Variante de archivo batch identificada en la cadena de ataque |
| Nombre de archivo | K3772.bat | Variante de archivo batch utilizada en la ofuscación de variables de entorno |
| Nombre de archivo | HqcUpdate.exe | Payload final de robo de información (Chinotto) |
| Nombre de archivo | WStep163.cab | Script de Python ofuscado descargado desde el servidor C2 |
| Nombre de archivo | MicroAppsTemp28h2.bat | Archivo batch descargado del C2 para actividades posteriores |
| Tarea programada | MicrosoftMusicLibrariesPackageTaskMachine | Mecanismo de persistencia disfrazado de tarea legítima de Microsoft |
Nota: Las direcciones IP y los dominios han sido desactivados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/new-stealthy-vidar-stealer-campaign/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.