Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4355
)
-
▼
mayo
(Total:
1052
)
-
Herramienta de IA Pentest Swarm con acceso a nmap,...
-
Windows 10 sigue en el 30% de PCs HP
-
Ciberdelincuentes aprovechan fallo crítico en Fort...
-
Xbox pide paciencia pese a la mejora de Game Pass
-
Nueva amenaza vinculada a Rusia: GREYVIBE lanza ci...
-
Paquetes de npm roban secretos de nube y CI/CD
-
Anthropic supera a OpenAI como la startup de IA má...
-
Nueva vulnerabilidad de ChatGPT permite convertir ...
-
Interfaz remota de Codex roba tokens de OpenAI
-
IA: el coste del tokenmaxxing amenaza la rentabilidad
-
Microsoft recomienda antivirus externos en Windows 11
-
Linux DNS-AID: descubrimiento descentralizado de IA
-
Policía holandesa rescata 17 millones de dispositi...
-
RCE en VS Code Remote-SSH permite saltar de equipo...
-
Actualización de seguridad crítica de Oracle: parc...
-
La escasez de memoria llega a los routers WiFi 7 d...
-
Alerta por estafa del falso hijo en WhatsApp
-
Empresa misteriosa gastó 500 millones en Claude AI...
-
Filtración de datos en Charter Communications afec...
-
EE. UU. acusa a ingeniero de seguridad de Google p...
-
Claude Opus 4.8 ya está aquí: 2,5 veces más veloci...
-
OneXPlayer 3 estrena Intel G3
-
Teléfonos de militares filtraron datos de ubicació...
-
Filtrado iOS 27: Siri independiente y cámara con IA
-
Windows 11: nueva función acelera la CPU un 70%
-
Usan falsas actualizaciones de reproductores de ví...
-
Filtración de datos compañía cruceros más grande d...
-
Se acabó quedarse sin cobertura: la revolucionaria...
-
Google Chrome implementa protección contra el robo...
-
Filtraciones revelan preocupación de EE. UU. por e...
-
IBM y Red Hat invierten 5.000 millones en segurida...
-
Alternativas al Buscador Google
-
Empleado de Google acusado de ganar 1,2 millones c...
-
Paquetes maliciosos de NuGet de Sicoob roban crede...
-
Nueva cadena de ataques Zapocalypse permite tomar ...
-
ClearFake usa contratos inteligentes de BSC Testne...
-
Ingeniero chino de hardware de AMD habla sobre RDN...
-
Jefes ignoran el uso clandestino de IA por exceso ...
-
Webs maliciosas rastrean visitas analizando la act...
-
Utilizan Teams para suplantar al soporte técnico
-
QNAP lanza nuevos switches gestionables con puerto...
-
Italia impone impuesto del 200% a centros de datos...
-
Kimsuky despliega HTTPSpy y amplía su arsenal con ...
-
Windows 11: Efecto del Perfil de Baja Latencia en ...
-
La Comisión Europea multa a Temu con 200 millones ...
-
EE.UU. alerta sobre el auge del extremismo anti-te...
-
Microsoft critica la publicación de vulnerabilidad...
-
GreyVibe emplea ChatGPT y Gemini para potenciar su...
-
Prueba 570 sistemas operativos míticos en tu naveg...
-
ASUS ROG XREAL R1: gaming en otra dimensión
-
Utilizan instaladores falsos de ChatGPT y Claude p...
-
Hackers usan malware Grandoreiro contra bancos por...
-
Claude Opus 4.8 con capacidad de ingeniero experto
-
Campaña GHOST STADIUM engaña a fans del Mundial co...
-
DuckDuckGo crece un 28% gracias a su búsqueda sin IA
-
Windows 11 imita a los AirPods
-
Pagar por usar WhatsApp, Instagram y Facebook ya h...
-
Vulnerabilidad de FortiClient explotada para despl...
-
Vulnerabilidad crítica en OpenVPN Connect para mac...
-
Controla y protege tus datos fácilmente con la app...
-
Nueva vulnerabilidad de Linux CIFSwitch permite ac...
-
Snapdragon C, el chip destinado a crear los «MacBo...
-
Nuevo fallo de día cero en Gogs permite la ejecuci...
-
Atacantes pueden explotar BadHost para acceder a s...
-
Guía de copia de seguridad de Firefox
-
Pueden espiar tu navegación midiendo la actividad ...
-
Rumano condenado a 5 años de prisión por hackear r...
-
FBI: Delincuentes irrumpen en despachos legales y ...
-
Vulnerabilidad del kernel de Windows permite modif...
-
Vulnerabilidad crítica en Roundcube permite inyect...
-
Condenan a 33 años de prisión a extorsionador sexu...
-
Usan chatbots de IA para difundir software malicioso
-
Stream Deck integra IA y control por voz
-
Steam Deck sube hasta un 50% de precio
-
Vulnerabilidad en Veeam permite escalada de privil...
-
Paquete malicioso de npm robaba archivos del direc...
-
Vulnerabilidades críticas en Notepad++ permiten ej...
-
AMD engaña a los usuarios de Linux: o pagan por un...
-
Nuevo malware BTMOB controla remotamente dispositi...
-
Ransomware Payload usa ChaCha20 y Curve25519 para ...
-
9 empresas de hardware dan la puntilla al PC: inve...
-
Filtrado diseño del Samsung Galaxy S26 FE
-
Encuesta revela que el 99% de los CEOs prevé despi...
-
Huawei lanzará chips avanzados en 2031
-
Expertos en IA de firmas chinas requieren permiso ...
-
El tipo que secuenció un ADN completo en casa con ...
-
GIGABYTE presenta el AORUS MASTER 16 2026
-
Evita estos errores al montar tu PC
-
SpaceX admite que no halla suficientes chips para ...
-
CISA insta a agencias federales a corregir vulnera...
-
Gemini agota límite de 5 horas con un solo prompt
-
Vulnerabilidad XSS en Pretalx pone en riesgo siste...
-
CrowdStrike y Google desmantelan la botnet Glassworm
-
Tycoon 2FA evade MFA en Entra ID y Google Workspace
-
Más de 700 sitios web dedicados a la educación y l...
-
Microsoft introduce una nueva función en Windows 1...
-
La CPU NVIDIA Vera con 88 núcleos Arm supera a tod...
-
Recomendaciones de chatbots con IA redirigen usuar...
-
App de Motorola secuestra Amazon para insertar cód...
-
AlmaLinux 10.2: paquetes de 32 bits y arranque Btrfs
-
-
▼
mayo
(Total:
1052
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Mozilla ha parcheado 271 vulnerabilidades en Firefox utilizando Claude Mythos , destacando que se produjeron casi cero falsos positivos . ... -
Samsung podría lanzar el Galaxy S27 Pro , un nuevo modelo de gama alta situado entre el Galaxy S27 y el S27 Ultra . -
Filtrado el diseño final del futuro Samsung Galaxy S26 FE a través de fabricantes de fundas, aunque el dispositivo no presenta grandes sor...
Recomendaciones de chatbots con IA redirigen usuarios a sitios de malware de cryptojacking
Microsoft advirtió sobre una campaña de cryptojacking que utiliza chatbots de IA para engañar a usuarios y dirigirlos a sitios de descarga maliciosos. Los atacantes suplantan utilidades de sistema para infectar equipos con GPUs potentes, instalando software de minería y herramientas de acceso remoto. El objetivo es maximizar el beneficio financiero y facilitar posibles robos de datos o ataques de ransomware.
Microsoft ha advertido sobre una campaña activa de cryptojacking que utiliza interacciones con chatbots de inteligencia artificial (IA) como mecanismo para hacer aparecer sitios de descarga maliciosos.
"Esta técnica de entrega emergente extiende la ingeniería social más allá de los resultados de búsqueda convencionales y aumenta la visibilidad de las recomendaciones de software malicioso", dijeron los expertos de Microsoft Defender y el Equipo de Investigación de Seguridad de Microsoft Defender en un informe publicado el martes aquí.
La actividad, según el gigante tecnológico, suplanta utilidades legítimas del sistema como CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack y PDFgear, probablemente en un intento de apuntar a usuarios que poseen GPUs de alto rendimiento. La idea es centrarse en comprometer sistemas con un mayor valor de minería que infectar indiscriminadamente un gran número de máquinas, añadió.
Los objetivos de la campaña no están motivados únicamente por cuestiones financieras. También se ha descubierto que los actores de amenazas establecen un acceso remoto persistente a los hosts comprometidos mediante despliegues de ScreenConnect, que luego podrían aprovecharse para actividades posteriores, como el robo de datos, el movimiento lateral o el ransomware.
La cadena de ataque es más deliberada que otros esfuerzos típicos de minería de criptomonedas, optando estratégicamente por endpoints que ayuden a maximizar el rendimiento de minería de GPU por dispositivo comprometido. El fabricante de Windows afirmó que detectó y bloqueó la actividad asociada con la campaña.
Todo comienza cuando buscas utilidades del sistema y software de monitoreo de hardware confiables en los motores de búsqueda, que muestran sitios maliciosos que han sido manipulados mediante técnicas como el envenenamiento de la optimización de motores de búsqueda (SEO). Iteraciones posteriores observadas en abril de 2026 indican que los usuarios están siendo dirigidos a estos sitios no a través de los resultados de los motores de búsqueda, sino mediante interacciones con herramientas basadas en modelos de lenguaje extenso (LLM).
"En estos casos, a los usuarios que consultaban chatbots de IA para recomendaciones de descarga de software se les presentaban enlaces a dominios controlados por el atacante dentro de las respuestas generadas", dijo Microsoft. "Si bien este comportamiento se basa en patrones observados y fuentes de datos correlacionadas, es consistente con las técnicas emergentes de envenenamiento de resultados de búsqueda de IA, representando una extensión del envenenamiento SEO tradicional más allá de los motores de búsqueda convencionales".
Cada uno de estos sitios contiene un botón de descarga prominente que recupera un archivo ZIP de un subdominio específico de la campaña de gleeze[.]com, alojado en una infraestructura asociada con Dynu, un proveedor de DNS dinámico frecuentemente utilizado por actores de amenazas. Se han identificado más de 150 dominios maliciosos que sirven las herramientas maliciosas.
El archivo ZIP descargado contiene un ejecutable legítimo junto con una DLL maliciosa ("autorun.dll") que se carga lateralmente cuando el usuario inicia el binario. La DLL está diseñada para instalar una segunda DLL maliciosa llamada "vcredist_x64.dll" utilizando "msiexec.exe". El archivo es un instalador empaquetado para el software ScreenConnect.
Una vez instalado ScreenConnect, el cliente intenta continuamente establecer contacto con un servidor controlado por el atacante ubicado en "193.42.11[.]108". La sesión de ScreenConnect sirve entonces como conducto para un ejecutable llamado "SimpleRunPE.exe".
El binario es responsable de establecer la persistencia en el host utilizando claves de ejecución del Registro y tareas programadas, configurando exclusiones de Microsoft Defender, ejecutando comprobaciones anti-análisis y empleando la técnica de "process hollowing" para lanzar el código de minería bajo un binario firmado y confiable de Microsoft.
En algunos compromisos seleccionados, en lugar de confiar en la funcionalidad de transferencia de archivos de ScreenConnect para soltar el binario, se utiliza un script de PowerShell para obtener el binario desde una unidad remota, almacenarlo localmente como "vlc.exe" para pasar desapercibido, crear una tarea programada para lanzarlo y luego eliminarse a sí mismo.
El binario vaciado, por su parte, se comunica con el servidor del atacante, transmite información extensa del host, descarga el archivo de minería apropiado en tiempo de ejecución y lo ejecuta. El malware admite tres programas de minería: gminer, lolMiner y SRBMiner-MULTI.
Además, el binario recrea los artefactos de persistencia para asegurar su presencia continua y reconfigura las exclusiones de Defender en caso de que sean eliminadas. También vigila los procesos en ejecución y procede a terminar inmediatamente el minero si se detecta cualquiera de los siguientes procesos:
- * taskmgr.exe (Administrador de tareas de Windows)
- * processhacker.exe, processhacker2.exe (Process Hacker)
- * procexp.exe, procexp64.exe (Process Explorer)
- * systeminformer.exe (System Informer)
"Esta combinación de entrega asistida por IA, suplantación de software y acceso persistente resalta cómo los actores de amenazas están adaptando la ingeniería social y las estrategias de monetización al comportamiento moderno del usuario", dijo Microsoft.
La revelación se produce días después de que Microsoft detallara cómo un actor de amenazas desconocido comprometió un dispositivo de firewall F5 BIG-IP orientado a internet y abusó de relaciones de confianza para pivotar hacia un host Linux interno, destacando la explotación continua de dispositivos perimetrales orientados a internet como puntos de acceso inicial.
El host Linux, dijo la empresa, permitió al atacante realizar un reconocimiento exhaustivo y moverse lateralmente hacia un servidor Atlassian Confluence vulnerable, aunque los intentos de ejecutar código remoto a través de fallas de seguridad no parcheadas en el software no tuvieron éxito.
Como forma de eludir estas restricciones, se dice que el actor de amenazas configuró un servidor FTP en el host Linux inicial utilizando el módulo ftplib de Python aquí para transferir una herramienta de escaneo personalizada al servidor Confluence y luego obtuvo credenciales para la autenticación posterior contra la infraestructura de Windows. A esto siguieron ataques de relevo Kerberos y la explotación de la vulnerabilidad CVE-2025-33073.
"Desde allí, el actor de amenazas comprometió una aplicación SaaS vulnerable y aprovechó sus credenciales para llevar a cabo ataques de autenticación estilo relevo contra Active Directory", afirmó Microsoft.
"En este incidente, el actor de amenazas se autenticó en un servidor Linux a través de SSH utilizando una cuenta privilegiada. El actor de amenazas mantuvo este nivel de acceso durante toda la actividad observada sin establecer mecanismos de persistencia explícitos, subrayando el riesgo que representan las identidades con excesivos privilegios y derechos sudo".
A principios de este mes, Microsoft también arrojó luz sobre otra intrusión en la que los atacantes abusaron de relaciones operativas confiables y procesos de autenticación para establecer un acceso duradero, aprovechando un proveedor de servicios de TI externo comprometido y herramientas de gestión de TI legítimas para orquestar una campaña encubierta centrada en el acceso a largo plazo y el robo de credenciales.
"Los proveedores de servicios externos y las herramientas de gestión integradas pueden convertirse en brechas de seguridad cuando la visibilidad es limitada o se asume la validación. Los actores de amenazas entienden esto", dijo Redmond aquí. "Aprovechan componentes legítimos, rutas de actualización confiables e integraciones aprobadas para anclarse dentro de entornos que parecen conformes en la superficie".
"Los defensores deben adoptar una postura de verificación deliberada. Confía en tus proveedores y herramientas, pero valida su comportamiento dentro de tu entorno. Las organizaciones que operan en sectores sensibles deben asumir que los actores de amenazas con este nivel de pericia continuarán refinando el abuso de terceros, la interceptación de credenciales y los mecanismos de persistencia sigilosos para mantener el acceso estratégico".
Fuente:
THN
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.