Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3786
)
-
▼
mayo
(Total:
483
)
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
Descubren un grave fallo de seguridad en el popula...
-
Android 17 será un sistema inteligente
-
Vulnerabilidad de 18 años en el módulo de reescrit...
-
Jonsbo DS339: así es el mini monitor USB para ver ...
-
IA obliga a parchear fallos de seguridad al instante
-
Teclado Razer Huntsman V3 TKL
-
Ataques contra PraisonAI por CVE-2026-44338: salto...
-
Microsoft soluciona 138 vulnerabilidades, incluyen...
-
Vulnerabilidades Zero-Day en Windows permiten salt...
-
Nueva vulnerabilidad de Exim BDAT GnuTLS permite a...
-
CVE-2026-33017 de Langflow usado para robar claves...
-
IA desborda a las universidades prestigiosas
-
Fracaso de Google Gemini en cafetería
-
iOS 26.5 trae RCS cifrado entre iPhone y Android
-
DeepMind fusiona el cursor con IA
-
Google lleva Gemini Intelligence a Android
-
AWS soluciona vulnerabilidad de salto de autentica...
-
Fragnesia: Nuevo fallo en el kernel de Linux permi...
-
Guerra en Irán obliga a marca de snacks a eliminar...
-
Grupos iraníes atacan a gigante electrónico de Cor...
-
Repositorio falso de filtro de privacidad de OpenA...
-
Móviles con Gemini Intelligence filtrados
-
Impactante Patch Tuesday incluye 30 vulnerabilidad...
-
Sovereign Tech Fund dona un millón de euros a KDE
-
¿Googlebook sustituirá a Chromebook?
-
Consiguen localizar la posición e identificar a us...
-
El Wi-Fi de tu casa capaz de ver a través de las p...
-
Kingston celebra 100 millones de ventas de los SSD...
-
Linux integra funciones de Windows para mejorar lo...
-
Japón planea un anillo solar lunar
-
Nueva campaña de Vidar Stealer evade EDR y roba cr...
-
Empleados de Amazon usan IA sin sentido para escal...
-
Tendencia de portátiles semiabiertos entre program...
-
Microsoft imita a Google para engañar usuarios
-
El sistema de IA MDASH de Microsoft detecta 16 fal...
-
Google iguala a AirDrop entre Android e iPhone
-
Steam Machine: cuatro modelos y reservas antiespec...
-
Altman afirma que Musk quería ceder el control a s...
-
Vulnerabilidades en Zoom Rooms y Workplace permite...
-
Ciberdelincuentes usan IA de Vercel para crear sit...
-
Samsung dejará de fabricar RAM LPDDR4 y afectará a...
-
Vulnerabilidad crítica de SandboxJS permite tomar ...
-
GIGABYTE AORUS RTX 5090 INFINITY: la gráfica con d...
-
Sony lanza el Xperia 1 VIII desde 1.499 euros
-
Vulnerabilidad en extensión de Chrome de Claude pe...
-
-
▼
mayo
(Total:
483
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Es muy probable que el próximo email que recibas no esté escrito por una persona. Da igual si usas Gmail, Outlook o cualquier alternativa si... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Nuevo malware permite control de pantalla, acceso al navegador y salto de UAC
Un marco de malware recién descubierto está generando graves alarmas en toda la comunidad de ciberseguridad. Los investigadores han identificado un implante previamente desconocido llamado TencShell, una herramienta sofisticada capaz de dar a los atacantes el control remoto total sobre un sistema comprometido.
El descubrimiento resalta cómo los actores de amenazas están reutilizando silenciosamente herramientas ofensivas disponibles públicamente para llevar a cabo intrusiones dirigidas con mucho menos esfuerzo que antes.
TencShell fue encontrado desplegado activamente contra una empresa manufacturera global con operaciones regionales distribuidas en varios países.
El ataque fue interceptado en la sede de la empresa en la India y rastreado hasta un usuario tercero con una conexión legítima al entorno interno del cliente.
Los atacantes explotaron ese acceso confiable como un puente, convirtiendo efectivamente una relación comercial rutinaria en un punto de entrada peligroso y altamente capaz.
Analistas de Cato Networks identificaron el intento de intrusión en abril de 2026 y lo bloquearon antes de que el atacante pudiera establecer un control remoto duradero.
Su investigación reveló una cadena de ataque cuidadosamente construida que involucraba cargas útiles (payloads) por etapas, tipos de archivos enmascarados y comunicación de comando y control diseñada específicamente para mezclarse con el tráfico web normal.
El vector de infección inicial sigue siendo desconocido, pero probablemente implicó phishing, una descarga maliciosa u otro método de entrega basado en la web.
Control de Pantalla, Bypass de UAC y Acceso a Artefactos del Navegador
TencShell deriva de Rshell, un marco de código abierto diseñado para el uso de seguridad ofensiva multiplataforma.
El actor de la amenaza lo personalizó y lo empaquetó de nuevo, añadiendo patrones de comunicación que imitan estrechamente el tráfico de API al estilo de Tencent para que las solicitudes maliciosas parezcan una actividad normal de la aplicación.
El nombre combina “Tenc” por esas rutas de C2 similares a Tencent y “Shell” por su comportamiento central de acceso remoto.
La preocupación general va más allá de este único incidente. Los atacantes ya no necesitan tuberías de desarrollo de malware personalizados para lograr una intrusión sofisticada.
Adaptar marcos ofensivos disponibles gratuitamente suele ser suficiente para construir una herramienta capaz y difícil de detectar, y esa realidad reduce la barrera para una gama mucho más amplia de actores de amenazas.
TencShell funciona como un marco completo de operador, y sus capacidades se extienden mucho más allá de la ejecución básica de comandos.
Los módulos de código recuperados confirman que el implante admite la captura de pantalla, la transmisión de pantalla en vivo a través de WebSocket y la simulación de teclado y ratón en tiempo real.
Funciones como SendInput, MouseClick, KeyTap y GetScreenWebSocket estaban integradas en la herramienta, otorgando al operador un control interactivo directo del host infectado.
.webp)
El implante también incluye rutinas dedicadas para acceder a artefactos del navegador tanto de Chrome como de Microsoft Edge. Los opcodes recuperados confirman operaciones para leer y borrar sesiones guardadas, datos de inicio de sesión y cookies de ambos navegadores.
Esto crea un camino directo al robo de credenciales y al secuestro de sesiones para cualquier organización donde TencShell logre instalarse.
Un módulo de bypass de UAC, documentado bajo el opcode UAC_BYPASS, permite al atacante obtener privilegios elevados sin activar el aviso de seguridad estándar de Windows.
Combinado con el proxy SOCKS5, la carga de DLL, la transferencia de archivos y la persistencia a través de una clave de ejecución del registro disfrazada de “OneDriveHealthTask”, TencShell está hecho para un acceso sigiloso a largo plazo en lugar de un robo rápido.
Cadena de Infección y Método de Entrega de TencShell
El ataque siguió un patrón de entrega multietapa claro. Se ejecutó un dropper ligero de primera etapa después del acceso inicial, diseñado para mantenerse pequeño y descargar silenciosamente la siguiente carga útil mientras utilizaba un User-Agent falso para mezclar las solicitudes salientes con el tráfico normal.
.webp)
Luego, el dropper recuperó lo que parecía ser un archivo de fuente web estándar con extensión .woff, el tipo que los sitios web usan habitualmente para cargar tipografías personalizadas.
Dentro de ese archivo se encontraba el shellcode de Donut, una herramienta de código abierto capaz de cargar cargas útiles de Windows directamente en la memoria, evitando la necesidad de escribir cualquier cosa en el disco.
Este disfraz ayuda a que la solicitud parezca una obtención rutinaria de activos del navegador en lugar de una operación de entrega de malware.
Tras la recuperación, el shellcode se cargó en una región de memoria, se marcó como ejecutable y se lanzó a través de un nuevo hilo dentro del proceso originario.
Donut luego mapeó reflexivamente TencShell en la memoria, completando la cadena y preparando el implante para la comunicación activa de comando y control.
Se aconseja a los equipos de seguridad marcar solicitudes salientes inusuales a endpoints desconocidos, rutas .woff inesperadas fuera del contexto normal del navegador y entradas de autorun desconocidas en el Registro de Windows.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Dirección IP | 45[.]64[.]52[.]242 | Infraestructura C2 controlada por el atacante |
| Dirección IP | 192[.]238[.]134[.]166 | Infraestructura C2 controlada por el atacante |
| Dirección IP | 45[.]115[.]38[.]27 | Infraestructura C2 controlada por el atacante |
| Dominio | gin-tne-fahcesmukw[.]cn-hangzhou[.]fcapp[.]run | Dominio C2 controlado por el atacante |
| Hash SHA256 | c3ecb90c9915daa23aec51f93ff8665778866f05 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 92b2413578c8ba9708df6091660af53acdc505f3 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 33f6d4f4269cec740a5eb05e41a4c7926742606b | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 18f22d3337facbbd0047c19f4efdea75ccb9e3ec | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 793cb9b1d7846afa4fb8e900d6e9ed9501dc3e7e | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 673b4f2682f29b19ecabf9a6ec9c3042c9b1cfb3 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 9dbdddf1dda680ab750a707084839fe970266964 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 957b8eaa7e25b4d9ca1050cd7ab19e4a2add707d | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 12f76f48727916d6c05f53f8cd94915db5de5ffcbfa02c4807c27e090cfa47c | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 14ae8de40153c66455d972e6e98fe06fb68db7301ba126557e96599527bc5509 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | c1ba73df60e12b3feb8b5574e65cfceb6910460ab7fae2cf5554769fafdad049 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | e5eff99959683480d2280c931e433af836adf6a8b7a8489b1af17cddcf480cf6 | Muestra de malware relacionada con TencShell |
| Hash SHA256 | 30fe91200a2bb4aed13b1a1ba4ec8fd4454566f5929ffed4f537d9a87c1bf118 | Dropper o carga útil de TencShell |
| Hash SHA256 | 77f6bec5dd217151fcd03087a6e7ba1070f0fa603801fb128a4097076c9976d3 | Dropper o carga útil de TencShell |
| Hash SHA256 | 6ed6058f0b0735ba56b781dea39353625fcb56bc3e77bf2d26a648511d754d21 | Dropper o carga útil de TencShell |
| Clave de Registro | \Software\Microsoft\Windows\CurrentVersion\Run | Clave de ejecución de registro utilizada por TencShell para persistencia |
| Valor de Registro | OneDriveHealthTask | Nombre del valor de registro utilizado por TencShell para la persistencia de autorun |
Nota: Las direcciones IP y los dominios están intencionadamente desactivados (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/new-malware-framework-enables-screen-control/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.