Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5353
)
-
▼
julio
(Total:
71
)
-
Más de 900 instancias de Oracle E-Business expuest...
-
Vulnerabilidad en Cisco Catalyst Center permite le...
-
Usan VLC falso y libvlc.dll malicioso para despleg...
-
Un YouTuber crea «el peor USB del mundo» para evit...
-
Opera bloquea ataques de portapapeles con la nueva...
-
Vulnerabilidades críticas de JetBrains permiten sa...
-
UNESCO lanza plataforma de ciencia abierta FLOSS
-
Agente de IA aprovecha vulnerabilidad RCE en Langf...
-
Ransomware de navegador cifra fotos de Android med...
-
Cuidado con los anuncios de X: pueden contener mal...
-
Anthropic busca crear su propio chip de IA con Sam...
-
Desactivan Defender, Sysmon y WAF antes de robar c...
-
Vulnerabilidades de ClamAV permiten denegación de ...
-
WinRAR 7.23 corrige vulnerabilidad que provoca cie...
-
Home Assistant 2026.7 revoluciona las automatizaci...
-
SpaceX creará un rival para iPhone con IA
-
¿Fracasará la nueva Steam Machine?
-
FCC prohíbe equipos chinos por riesgos de ciberseg...
-
Nikkei: Malware chino infectó USB del Ejército de ...
-
Alguien le pidió a DeepSeek crear un ransomware en...
-
La Justicia europea confirma la mayor multa de la ...
-
El kit de phishing EvilTokens es mucho más peligro...
-
Ataque FortiBleed vinculado a INC y Lynx Ransomware
-
Extraditan a EE. UU. a presunto miembro de Scatter...
-
Xbox Helix digitalizaría juegos físicos
-
Falla sin parchear en Repo-Server de Argo CD podrí...
-
Sony eliminará el formato físico en PlayStation
-
Troyano bancario Ousaban engaña a usuarios de banc...
-
AMD consigue un 87,4% en ventas del total de placa...
-
Vulnerabilidades RCE en Cursor IDE permiten inyecc...
-
Vulnerabilidad de Apple ‘Hide My Email’ expone cor...
-
Graves fallos en Cursor podrían permitir que la in...
-
Vulnerabilidades críticas en Adobe ColdFusion perm...
-
Amazon recibe multa de 2,25 millones de dólares po...
-
Anuncio de Google instala código malicioso de Clau...
-
Ransomware de navegador creado con IA explota API ...
-
IA encarece luz y condado pide ahorro
-
Meta cobrará suscripciones por hardware ya comprado
-
Extension falsa de Perplexity en Chrome Web Store ...
-
Zen 6 impulsará PS6 y su versión portátil
-
El Phantom Squatting aprovecha dominios alucinados...
-
Corea del Sur invertirá 520.000 millones de dólare...
-
EE. UU. levanta controles de exportación sobre Cla...
-
Nuevo ataque "BioShocking" manipula navegadores co...
-
Múltiples vulnerabilidades de Apache Tomcat permit...
-
NotebookLM crea vídeos cortos desde tus apuntes
-
Claude Sonnet 5: más barata y potente
-
Anthropic reactiva Claude Fable 5 tras el levantam...
-
Citrix corrige seis vulnerabilidades de NetScaler ...
-
GIGABYTE lanza la AORUS RTX 5080 INFINITY
-
Actualización de Chrome corrige 382 vulnerabilidad...
-
Cientos de millones de intentos de Password Spray ...
-
Un coleccionista de tarjetas gráficas muestra cole...
-
Expertos en ciberseguridad pierden la fe en las he...
-
GuardFall revela que los agentes de IA de código a...
-
Explotan vulnerabilidad RCE en Langflow para despl...
-
Reserva tu nombre en WhatsApp
-
Claude Code de Anthropic usaría código oculto para...
-
X lanza servidores MCP para conectar Cursor, Claud...
-
IBM lidera con chip de 0,7 nm para IA
-
Expertos en seguridad engañaron a LLMs para obtene...
-
Usan malware SystemBC para ocultar tráfico C2 y ma...
-
Nueva puerta trasera de Windows Mistic permite eje...
-
Vulnerabilidades en AirDrop y Quick Share permiten...
-
Ford vuelve a contratar humanos tras fallos de la IA
-
Apple se quedará sin memorias de CXMT al priorizar...
-
IA reemplazará antes a programadores que a camioneros
-
Donkey Kong 64 llega a PC este verano
-
Vulnerabilidad de SimpleHelp explotada para desple...
-
Microsoft extiende la disponibilidad de hotpatchin...
-
AMD avisa a sus socios: las GPU Radeon volverían a...
-
-
▼
julio
(Total:
71
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
-
Un coleccionista presenta una impresionante muestra de tarjetas gráficas ATI-AMD de gama alta que recorre 40 años de historia de la marca...
Usan VLC falso y libvlc.dll malicioso para desplegar ValleyRAT
Los ciberdelincuentes han encontrado una forma ingeniosa de burlar las defensas de seguridad ocultando malware dentro de un programa en el que la mayoría de la gente confía sin pensarlo dos veces.
Investigadores han descubierto una campaña que abusa del popular reproductor multimedia VLC para instalar silenciosamente ValleyRAT, un troyano de acceso remoto que otorga a los atacantes el control total sobre los ordenadores infectados.
El ataque comienza con algo engañosamente ordinario: un correo electrónico. Las víctimas reciben un mensaje sobre traslados de personal o cambios salariales, con un enlace para descargar un archivo.
Una vez abierto, ese archivo desencadena una serie de eventos que termina con una puerta trasera oculta ejecutándose silenciosamente en la memoria, invisible para muchas herramientas antivirus tradicionales.
Analistas de LevelBlue identificaron la campaña mientras rastreaban un aumento constante en las detecciones de ValleyRAT a través de su Centro Global de Operaciones de Seguridad.
El malware ha estado activo desde 2023, pero la actividad se aceleró bruscamente entre 2025 y 2026, casi duplicándose en comparación con el año anterior.
LevelBlue señaló en un informe que la versión de esta campaña basada en correos electrónicos maliciosos se dirige específicamente a usuarios que hablan chino y japonés, aunque el riesgo se extiende mucho más allá de esas regiones dada la cantidad de empresas globales que operan oficinas allí.
.webp)
Lo que hace notable a esta campaña es su uso de una aplicación legítima como camuflaje.
En lugar de escribir malware desde cero que el software antivirus podría marcar inmediatamente, los atacantes reutilizaron el propio ejecutable de confianza de VLC, combinándolo con una versión corrupta de uno de sus archivos de soporte para evadir las defensas sin ser detectados.
Los hackers utilizan un ejecutable legítimo de VLC y la DLL maliciosa libvlc.dll
La cadena de infección comienza cuando una víctima hace clic en un enlace del correo de phishing, lo que activa la descarga de un archivo ZIP que contiene dos archivos: un ejecutable y una DLL.
El ejecutable está disfrazado con un nombre de archivo en japonés relacionado con el asunto del correo electrónico, aunque su descripción interna del archivo y su hash coinciden con una compilación genuina del reproductor de medios VLC.
El archivo adjunto, llamado libvlc.dll, es un componente del que VLC normalmente depende para funcionar.
.webp)
Dado que Windows confía en las aplicaciones firmadas como VLC, ejecutar el ejecutable falso provoca que cargue automáticamente esta DLL maliciosa, una técnica que los investigadores llaman DLL sideloading. Esto permite que el código dañino se ejecute bajo la cobertura de un nombre de programa reconocido y legítimo.
Una vez cargada, la DLL copia ambos archivos a un directorio fijo y crea una entrada en el registro para que el ejecutable se reinicie cada vez que la víctima inicia sesión, asegurando que la infección sobreviva a un reinicio. A partir de ahí, se comunica silenciosamente con un servidor remoto para obtener la carga final de ValleyRAT.
Tácticas de evasión y ejecución sin archivos
El mecanismo de entrega de ValleyRAT hace esfuerzos considerables para evitar ser detectado en un sandbox o entorno de análisis.
Antes de hacer cualquier daño, el malware comprueba la memoria disponible, cuenta los núcleos del procesador y mide cuánto tiempo tarda realmente un comando de suspensión, ya que los entornos de prueba virtuales suelen comportarse de manera diferente a las máquinas reales.
Si alguna de estas comprobaciones sugiere que está siendo vigilado, el malware simplemente se detiene y no hace nada más, lo que hace que sea mucho más difícil para los defensores observar su comportamiento real.
El código también está relleno con grandes cantidades de funciones basura sin sentido, diseñadas puramente para ralentizar a cualquiera que intente realizar ingeniería inversa.
Quizás lo más preocupante es cómo se entrega la carga final. El componente de ValleyRAT descargado, cifrado con un cifrado RC4 simple, se descifra directamente en la memoria y se inyecta en un proceso del sistema suspendido en lugar de guardarse en el disco.
.webp)
Este enfoque sin archivos significa que no queda ningún archivo malicioso obvio que los escaneos antivirus tradicionales puedan capturar.
Los investigadores recomiendan que las organizaciones entrenen a sus empleados para reconocer señales de advertencia, como nombres de archivos ejecutables inusuales en japonés, descripciones de archivos que no coincidan y correos electrónicos comerciales enviados desde dominios de correo web gratuitos.
También se aconseja implementar herramientas de detección de endpoints capaces de detectar el comportamiento de DLL sideloading y la inyección de procesos inusuales, ya que estas técnicas son demasiado técnicas para la formación típica de los empleados por sí sola.
Para las organizaciones ya afectadas, aislar el sistema comprometido de la red y revisar los registros de seguridad para entender qué acciones realizó el atacante son los primeros pasos esenciales. En casos más graves, una reinstalación completa del sistema operativo puede ser el camino más seguro.
Esta campaña es un recordatorio de que la confianza en nombres de software familiares puede ser explotada tan fácilmente como la confianza en extraños. A medida que ValleyRAT continúa evolucionando sus técnicas de evasión, mantenerse alerta a las pequeñas inconsistencias en los correos electrónicos y las propiedades de los archivos sigue siendo una de las mejores defensas disponibles.
Indicadores de Compromiso
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA1 | e8be03f19ada1f5cec74b143e21d4939e781671d | Correo electrónico malicioso |
| Dominio | frehf.oss-cn-hongkong.aliyuncs[.]com | Dominio parte de la URL en el correo malicioso |
| SHA1 | 65168c8dd93b16d3b77092fb70c0fa6fba4dffcc | Archivo ZIP (ejecutable de VLC falso) |
| URL | http://154.92.16.22/xz.bin | URL de descarga de ValleyRAT |
| SHA1 | eca7ed7b699835fadc2c2997a2845864e02b8dfe | Muestra de ValleyRAT cifrada por RC4 |
Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (ej., [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-use-fake-vlc-executable/

Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.