Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4262
)
-
▼
mayo
(Total:
959
)
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Más de 700 sitios web dedicados a la educación y l...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
TRYX muestra su refrigeración líquida HOLO 360 AIO...
-
Riesgo de robo de datos mediante IA de voz
-
GitLab suspende al investigador Nightmare-Eclipse ...
-
Microsoft cambia la búsqueda de Windows 11
-
ASUS lanzará el primer router Wi-Fi 8
-
Vulnerabilidad en Gitea permite acceder a imágenes...
-
ROADtools usado en ataques en la nube para robar t...
-
Anthropic lanza plugin de seguridad gratuito para ...
-
GitHub de Microsoft banea a investigador por publi...
-
Policía holandesa detiene a sospechoso del hackeo ...
-
All in One – System Rescue Toolkit (AIO-SRT)
-
Vulnerabilidad de inyección LDAP en Apache CXF per...
-
Vulnerabilidad de ConnectWise Automate permite sal...
-
Windows Server 2016: fallo con hostnames de 15 car...
-
El RobotAtlas entrena para el Mundial pero falla e...
-
Vulnerabilidad crítica de Memcached SASL permite i...
-
Vulnerabilidades en BIND 9 exponen servidores a ex...
-
Vulnerabilidad de Microsoft SharePoint permite eje...
-
Nvidia elimina Panel de Control y GeForce Experience
-
OpenPetya: un bootkit moderno
-
Zara lanza bolso inspirado en la PSP
-
CERT-In exige parches en 12 horas para fallos expu...
-
«No me digas lo que te dice la IA». A ver si se co...
-
Microsoft Defender aísla dispositivos comprometido...
-
Google dificulta la cancelación de suscripciones e...
-
YouTube podría eliminar una pestaña móvil
-
Todo sobre la futura PS6
-
Simulan el fin del universo con resultados positivos
-
PyrsistenceSniper: herramienta que detecta 117 téc...
-
Empleados de Big Tech disparan costes de IA con to...
-
OmniDrive: convierte tu Blu-ray en grabadora de ju...
-
Vulnerabilidades en Angular Language Service permi...
-
Escanean firewalls de SonicWall: 597.000 sesiones ...
-
LEGO Skylines: el riesgo de Paradox
-
Falta talento en ciberseguridad en España
-
Mythos: la IA de Anthropic para seguridad y código...
-
Quasar Linux RAT ataca desarrolladores con ejecuci...
-
Nintendo rechaza la IA y sus acciones suben
-
Grupo chino ataca routers en el sudeste asiático c...
-
El Gobierno de España aprueba la Ley de IA que pro...
-
Italia desmantela la app CINEMAGOAL de streaming i...
-
Logran engañar a la IA de Google y la usan para ro...
-
Explotan vulnerabilidad Zero-Day de KnowledgeDeliv...
-
SK hynix mete refrigeración dentro de la HBM para ...
-
La fuente MSI MPG Ai1600TS PCIE5 es capaz de prote...
-
Microsoft reorganiza Copilot
-
Caída global de GitHub afecta flujos de CI/CD
-
Linux elimina soporte ARCnet antiguo
-
MediaTek ya adelanta que el NVIDIA N1 ofrecerá «ex...
-
Fitbit Air: la libertad de vivir sin pantallas
-
Qué significa el anillo morado de WhatsApp
-
China crea DNI para robots humanoides
-
Usan CVE-2026-26980 de Ghost CMS para infectar 700...
-
Zen 7 rozará el límite del silicio
-
Actualizaciones de BIOS de HP dañan portátiles pre...
-
Usan SEO poisoning para suplantar instaladores de ...
-
Jefe de Uber advierte que no hay vínculo entre el ...
-
Publicado PuTTY 0.84 con correcciones de SSH y Telnet
-
UE impone multa récord a Google por abusos en búsq...
-
IA planean crear un sindicato por explotación
-
Jira ya permite programar oficialmente
-
Nuevas vulnerabilidades de 7-Zip permiten ejecutar...
-
HP investiga el desastre de una BIOS enviada por W...
-
Summer Game Fest 2026 regresa en junio
-
León XIV pide desarmar la IA abusiva
-
Amor por IA: el romance que amenaza su vida
-
Cloud Atlas APT modifica termsrv.dll para permitir...
-
IA de Google falla en búsquedas sencillas
-
Ferrari Luce: el eléctrico de Jony Ive
-
UE6 solucionará el fallo de UE5
-
Vulkan y fecha de Steam Machine 2
-
Python supera a la IA en salidas profesionales
-
TDK Corporation y NHK Spring reciben una demanda p...
-
PS6 superará a PS5 emulando PS3
-
Exoesqueleto impulsado por IA para potenciar el mo...
-
Ciberdelincuente ruso usó Gemini modificado para r...
-
Explotan vulnerabilidad CVE-2026-26980 de Ghost CM...
-
Exingeniero de Atlassian relata su despido por IA
-
Bolso de Tiranosaurio: lujo costoso y cuestionable
-
Cómo eliminar la IA de Google para siempre
-
Prototipo de Samsung: memoria NAND 3D de 900 capas...
-
Historiales de WhatsApp almacenados sin cifrar en ...
-
IA provoca 150.000 despidos tecnológicos en 5 meses
-
MX Linux 25.2: mejoras en instalador, modo live y ...
-
Linus Torvalds critica el uso excesivo de la IA en...
-
Star Citizen: mil millones y sigue sin terminar
-
Malware de Android suscribe víctimas a servicios p...
-
Vulnerabilidad Nginx-poolslip permite DoS y ejecuc...
-
Pentest Agent Suite: framework de bug bounty para ...
-
Claude Mythos halla 10.000 fallos pero genera nuev...
-
Ocultan carga Linux en archivo similar a SSH al in...
-
Copilot pierde funciones en Office
-
-
▼
mayo
(Total:
959
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Las gafas inteligentes Ray-Ban de Meta se abrirán a aplicaciones de terceros mediante Android XR para ampliar su compatibilidad. -
Google ha lanzado una actualización de seguridad urgente para Chrome que soluciona 16 vulnerabilidades , incluyendo dos calificadas como crí... -
Se ha publicado un código de prueba de concepto (PoC) para DirtyDecrypt (también conocido como DirtyCBC ), una vulnerabilidad de alta grave...
Quasar Linux RAT ataca desarrolladores con ejecución sin archivos y rootkit eBPF
Se ha descubierto un nuevo malware para Linux llamado Quasar Linux (QLNX), el cual está dirigido específicamente a ingenieros de DevOps y desarrolladores de software. Este malware destaca por su sofisticación, ya que se ejecuta casi totalmente en memoria, lo que dificulta enormemente su detección por parte de las herramientas de seguridad tradicionales al evitar el almacenamiento de archivos en el disco.
Un malware de Linux recién descubierto conocido como Quasar Linux, o QLNX, está atacando activamente a desarrolladores de software e ingenieros de DevOps con un nivel de sofisticación rara vez visto en amenazas centradas en Linux.
A diferencia de la mayoría del malware que depende de archivos almacenados en el disco, QLNX se ejecuta casi por completo en la memoria, lo que hace que sea muy difícil de detectar para las herramientas de seguridad tradicionales. La amenaza ha generado serias preocupaciones debido a quiénes ataca y qué es lo que finalmente busca robar.
QLNX llega como un único binario autónomo, pero ahí es donde termina el comportamiento ordinario. Una vez ejecutado, desplaza su carga útil a la memoria y no deja rastro en el sistema de archivos; luego, se implanta en el sistema operativo para recolectar claves SSH, credenciales de la nube, tokens de registros de paquetes y contraseñas almacenadas en el navegador.
Una estación de trabajo de desarrollador comprometida no es solo una máquina infectada; es una puerta trasera hacia repositorios de código fuente, tuberías de compilación (build pipelines) y entornos de nube. Los analistas de GuardSix identificaron el malware y señalaron que fue descubierto originalmente por investigadores de TrendMicro.
GuardSix dijo en un informe que QLNX está construido alrededor de un marco de acceso remoto de 58 comandos diseñado para evadir las defensas convencionales de los endpoints de Linux.
El malware ataca sistemas que ejecutan Debian, Ubuntu, RHEL, Fedora y Arch, centrándose principalmente en los hosts de desarrollo y de compilación CI/CD.
Lo que diferencia a QLNX es su capacidad para adaptarse a casi cualquier sistema Linux que infecte. En lugar de llevar componentes preconstruidos, incrusta código fuente de C puro y utiliza el propio compilador de la máquina objetivo para construir un rootkit personalizado en tiempo de ejecución.
Dado que los archivos resultantes son únicos para cada host, la detección de firmas estáticas falla y el malware se mezcla con la actividad que parece normal.
El daño se extiende mucho más allá de un solo endpoint. Una infección exitosa posiciona a un atacante dentro de la cadena de suministro de desarrollo, con acceso a todo lo necesario para manipular el código, publicar paquetes maliciosos o pivotar hacia la infraestructura de la nube.
Los defensores que pasen por alto el compromiso inicial pueden enfrentar consecuencias que lleguen mucho más allá de la máquina infectada inicialmente.
Quasar Linux RAT ataca a desarrolladores
La cadena de infección de QLNX se desarrolla en seis etapas cuidadosamente secuenciadas y diseñadas para evitar dejar evidencia. Al iniciarse, crea un archivo que existe solo en la memoria, escribe su carga útil real en él, ejecuta esa carga y luego elimina el archivo original del disco.
El proceso en ejecución no tiene ningún archivo asociado en el sistema de archivos, por lo que las herramientas antivirus basadas en disco no encuentran nada que escanear. Para evitar llamar la atención, QLNX reescribe el nombre de su propio proceso para imitar hilos de trabajo legítimos del kernel como [kworker/0:0] o [migration/0].
.webp)
Los hilos genuinos del kernel nunca deberían mantener conexiones de red en el espacio de usuario ni tener un proceso padre regular en el espacio de usuario. La mayoría de los controles rutinarios del sistema pasarían por alto este engaño por completo.
Luego, el malware compila su rootkit incrustado y la fuente del backdoor PAM contra las cabeceras del kernel local utilizando el propio gcc de la víctima, produciendo un archivo de objeto compartido único por host que evade la detección basada en firmas.
El rootkit compilado se carga en todo el sistema modificando un archivo que obliga a cada proceso recién creado a cargar la librería maliciosa. Una malla peer-to-peer conecta los hosts infectados, por lo que eliminar un nodo de comando no desconecta al atacante.
Pasos de remediación y mitigación para QLNX
GuardSix deja claro que una limpieza estándar no es suficiente. Un borrado completo y la reinstalación del sistema operativo desde una imagen verificada y limpia es la única solución totalmente fiable, ya que una limpieza parcial deja un riesgo residual porque el rootkit eBPF puede sobrevivir a menos que se elimine completamente a nivel de kernel.
Para los equipos que no pueden reinstalar la imagen inmediatamente, GuardSix recomienda aislar todos los hosts sospechosos de la red a la vez, ya que eliminarlos uno por uno permite que los nodos de malla supervivientes vuelvan a infectar a los pares ya limpiados.
.webp)
Eliminar los archivos de persistencia conocidos, limpiar la configuración de la librería de precarga (preload) y recopilar los registros de credenciales cifradas para la revisión forense son pasos esenciales.
En cuanto a la prevención, restringir el compilador de C en sistemas que no lo requieran bloquea a QLNX de construir su rootkit. Segmentar las estaciones de trabajo de los desarrolladores entre sí rompe la malla peer-to-peer.
Las organizaciones deben monitorear estrechamente los archivos de configuración del sistema de bajo nivel y rotar todas las credenciales de toda la empresa tras cualquier detección confirmada.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Nombre de archivo | quasar_linux.service | Archivo de servicio de Systemd depositado en /etc/systemd/system/ y ~/.config/systemd/user/ para persistencia |
| Nombre de archivo | libsecurity_utils.so.1 | Objeto compartido malicioso compilado y desplegado por el rootkit QLNX |
| Nombre de archivo | pam_security.so | Módulo PAM malicioso desplegado para interceptar la autenticación |
| Nombre de archivo | libpam_cache.so | Objeto compartido PAM malicioso adicional registrado vía pila PAM |
| Nombre de archivo | .libpam_cache.so | Módulo PAM oculto almacenado bajo /usr/lib/ |
| Ruta de archivo | /etc/ld.so.preload | Modificado por QLNX para lograr la inyección de librerías en todo el sistema |
| Ruta de archivo | /var/log/.ICE-unix | Archivo oculto cifrado con XOR que almacena credenciales capturadas |
| Ruta de archivo | /var/log/.Test-unix | Archivo oculto cifrado con XOR que almacena credenciales capturadas |
| Ruta de archivo | /tmp/.pam_cache | Archivo oculto utilizado para almacenar contraseñas en texto claro interceptadas |
| Ruta de archivo | /tmp/.X752e2ca1-lock | Archivo de bloqueo mutex de QLNX utilizado para evitar infecciones duplicadas |
| Ruta de archivo | /etc/init.d/quasar_linux | Script RC depositado para persistencia al momento del arranque |
| Ruta de archivo | ~/.config/autostart/quasar_linux.desktop | Entrada de autoinicio XDG para persistencia al iniciar sesión en el escritorio |
| Nombre de archivo | /tmp/malicious_payload.c | Archivo fuente de C temporal depositado en tiempo de ejecución para compilación en el host |
| Nombre de archivo | /tmp/libsecurity.so | Objeto compartido del rootkit compilado producido a partir de la compilación en el host |
Nota: Las direcciones IP y los dominios han sido desinfectados intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/quasar-linux-rat-targets-developers/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.