Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5515
)
-
▼
julio
(Total:
233
)
-
uBlock Origin muere en Chromium: alternativas
-
OpenMandriva Linux denuncia intento de sabotaje po...
-
Lanzan GPT-5.6 y ChatGPT Work
-
Lanzado Wireshark 4.6.7 con correcciones contra pa...
-
Grok 4.5 supera a Claude Opus según Elon Musk
-
Examen confirma uso de ChatGPT en clase
-
GitLab corrige ocho vulnerabilidades de seguridad ...
-
Oregón sube 30% luz a centros de datos de IA
-
Claude, Cursor y Codex activan reglas de seguridad...
-
Meta lanza herramienta de IA que utiliza fotos púb...
-
Vulnerabilidad en PAN-OS de Palo Alto permite ejec...
-
GPU casera con 64.000 chips baratos
-
Monitores de LG, Dell y Alienware instalan bloatwa...
-
Tuxedo OS deja Ubuntu por Debian por falta de tran...
-
Mycelium Framework: primera botnet de IA como serv...
-
Ataque de agente doble de IA hace que Claude Deskt...
-
Nueva herramienta promete humanizar los textos aca...
-
CrowdStrike revela 5 nuevas técnicas de inyección ...
-
Claude Cowork permite gestionar sesiones de IA des...
-
Deepin 25.2 optimiza Wayland y la búsqueda
-
Moonraker: el plan de Amazon para mejorar Alexa
-
Cuidado con el nuevo ataque HalluSquatting: podría...
-
Navegador DuckDuckGo bloquea anuncios de YouTube p...
-
GPT-Live: la IA que escucha y habla en tiempo real
-
Banana RAT usa generador de carga útil para crear ...
-
Nuevo SSD de Samsung alcanza 28.400 MB/s
-
70% de sitios de WordPress con PHP desactualizado ...
-
Usan fallos de Roundcube para robar credenciales e...
-
Víctimas de Predatorgate demandan por 8 millones d...
-
Game Pass pierde cuatro millones de usuarios
-
Claude Cowork llega a iPhone y Android
-
Los servidores europeos dependen en buena parte de...
-
OpenAI obtendría permiso del gobierno EE. UU. para...
-
Meta lanza Muse Image para WhatsApp e Instagram
-
El Mundial pone a prueba la interconexión europea ...
-
Filtración de Accenture: robo de 35 GB de código f...
-
Brave añade contenedores tipo Firefox
-
Vuelve Hannah Montana Linux tras 20 años
-
Vulnerabilidad GitLost engaña a la IA de GitHub pa...
-
Ciberdelincuentes explotan fallo de Docker en Gite...
-
4.982 fallos de seguridad en 2.259 servidores MCP ...
-
Fedora frena la IA por presión de sus usuarios
-
Agencia de ciberdefensa de EE. UU. usaría Mythos d...
-
Peligros del envenenamiento por IA
-
Documento judicial revela que el ID de dispositivo...
-
Nintendo retira Switch de Europa por leyes UE
-
Errores críticos en PHP PDO exponen riesgos de iny...
-
Vietnam detiene a los responsables del servicio de...
-
Ubiquiti revela 25 vulnerabilidades de seguridad e...
-
Carros inteligentes en España: comodidad y riesgo ...
-
España detiene a un presunto integrante de grupos ...
-
Vulnerabilidad de 16 años en Linux KVM permite cor...
-
Microsoft prueba Cloud Rebuild en Windows 11
-
PS5: crece el interés por el jailbreak
-
Demanda contra centro de IA en Wisconsin por ruido...
-
Mando con PS1 integrada y pilas
-
Japón desplegará 10 millones de robots para 2040
-
Tuxedo OS cambia Ubuntu por Debian
-
Error de Windows 11 roba 500 GB de disco
-
Transforman una RTX 4080 Laptop en una GPU de sobr...
-
El ID de Windows permite arrestar a miembro de Sca...
-
Transforma su PC en una Steam Machine con Bazzite ...
-
CERT/CC alerta sobre puerta trasera administrativa...
-
Nueva estafa telefónica contra clientes de DIGI
-
Cadena de malware VEIL#DROP emplea la plataforma B...
-
ONU pide regular la IA por su rápido avance
-
Malware Ousaban usa phishing y VBS contra bancos E...
-
Vulnerabilidad en Claude Cowork permite ejecutar c...
-
Detalles de vulnerabilidad SSRF en Microsoft Excha...
-
La propiedad digital era esto: pagar por algo que ...
-
Vinculados a Corea del Norte ocultan cargadores Ja...
-
Los centros de datos IA siguen aumentando la deman...
-
Armored Likho ataca agencias gubernamentales y el ...
-
Samsung 990: SSD PCIe 4.0 de gama baja que llega a...
-
IA Claude Fable 5 logra adaptar Command & Conquer:...
-
CEO de robots humanoides pide moderar expectativas
-
Nueva técnica SkillCloak permite que agentes de IA...
-
El ransomware The Gentlemen usa 21 técnicas de eje...
-
Xbox recorta 3.200 empleos y se reorganiza
-
Ya disponible OpenSSH 10.4 con mejoras de segurida...
-
Cheyenne prohíbe vertidos de Meta por superbacteria
-
IA autónoma crea primer ransomware
-
TrojPix permite atacar computadoras aisladas a 208...
-
Vulnerabilidades en IBM WebSphere permiten ataques...
-
IA acelera diseño de productos en grandes empresas
-
Norcoreanos lanzan 108 paquetes y extensiones mali...
-
Google Maps usará IA para pedir comida
-
Atacan vulnerabilidad crítica de Adobe ColdFusion ...
-
Los empleados de Samsung de la división de móviles...
-
Vulnerabilidades en ModSecurity permiten saltar re...
-
Hackers abusan de invitaciones de OpenAI para roba...
-
Detenido joven de 15 años por ciberataque a Bandai...
-
Nueva variante de QuimaRAT basada en Java disponib...
-
Gemini Spark ya controla tu Mac
-
Varias vulnerabilidades de PHP 8 permiten ataques ...
-
Chrome en Windows 11 permitirá dictar por voz
-
NVIDIA optimiza Blackwell para DeepSeek y reduce c...
-
Un visor web como herramienta definitiva para loca...
-
GTA VI llegará a Switch 2
-
Vulnerabilidad en Opera GX permitía a sitios malic...
-
Evolución visual de los iconos de Windows
-
Honeypots SSH omiten ataques post-login al centrar...
-
Ya disponible distro hacking ético Parrot 7.3 con ...
-
iPhone avisará en tiempo real si sufres una estafa
-
Apple defiende el uso de YouTube para su IA
-
Android 17 bloqueará apps con biometría
-
El desarrollo del firmware de Flipper Zero sigue a...
-
Android ya integra firma digital
-
Microsoft elimina Visor 3D de Windows
-
T3MP3ST: Framework que convierte agentes de IA en ...
-
Microsoft lanza actualización OOBE para Windows 11...
-
Windows 11 obligará a actualizar PCs nuevos
-
Android parchea vulnerabilidad activa
-
Micron «soborna» a la administración Trump con 250...
-
Steam Machine: así recuperas el 20% de rendimiento
-
En silencio, Intel subió el precio recomendado de ...
-
Steam Machine sufre anillo rojo de la muerte
-
Lenovo comienza a montar los SSD chinos de YMTC en...
-
Apple Creator Studio se actualiza con IA
-
GLM: IA china gratuita rivaliza con Claude Mythos
-
Entidad gubernamental de EE. UU. pagó 1 millón de ...
-
Exingeniero de Microsoft recrea Bloc de notas en 2...
-
Google condiciona News Showcase al acceso a datos ...
-
Revelan fallos sin parchear en sistema de archivos...
-
Cómo activar DNS cifradas en móviles
-
Eurodiputado que investigaba el software espía fue...
-
Nueva vulnerabilidad de Linux "Bad Epoll" permite ...
-
¿Basta Microsoft Defender para proteger Windows?
-
-
▼
julio
(Total:
233
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
SQLmap es una de las herramienta más conocidas para hacer ataques SQLi (SQL Injection) escrita en Python. SQLmap se encarga de realizar pe...
-
Siempre que hablamos de hardware, y especialmente de procesadores y tarjetas gráficas, uno de los datos técnicos más repetidos es el TDP...
-
Han logrado ejecutar Windows 11 en un PC antiguo con memoria DDR1, Core 2 Quad y gráfica AGP , superando las restricciones de hardware del ...
Usan VLC falso y libvlc.dll malicioso para desplegar ValleyRAT
Los ciberdelincuentes han encontrado una forma ingeniosa de burlar las defensas de seguridad ocultando malware dentro de un programa en el que la mayoría de la gente confía sin pensarlo dos veces.
Investigadores han descubierto una campaña que abusa del popular reproductor multimedia VLC para instalar silenciosamente ValleyRAT, un troyano de acceso remoto que otorga a los atacantes el control total sobre los ordenadores infectados.
El ataque comienza con algo engañosamente ordinario: un correo electrónico. Las víctimas reciben un mensaje sobre traslados de personal o cambios salariales, con un enlace para descargar un archivo.
Una vez abierto, ese archivo desencadena una serie de eventos que termina con una puerta trasera oculta ejecutándose silenciosamente en la memoria, invisible para muchas herramientas antivirus tradicionales.
Analistas de LevelBlue identificaron la campaña mientras rastreaban un aumento constante en las detecciones de ValleyRAT a través de su Centro Global de Operaciones de Seguridad.
El malware ha estado activo desde 2023, pero la actividad se aceleró bruscamente entre 2025 y 2026, casi duplicándose en comparación con el año anterior.
LevelBlue señaló en un informe que la versión de esta campaña basada en correos electrónicos maliciosos se dirige específicamente a usuarios que hablan chino y japonés, aunque el riesgo se extiende mucho más allá de esas regiones dada la cantidad de empresas globales que operan oficinas allí.
.webp)
Lo que hace notable a esta campaña es su uso de una aplicación legítima como camuflaje.
En lugar de escribir malware desde cero que el software antivirus podría marcar inmediatamente, los atacantes reutilizaron el propio ejecutable de confianza de VLC, combinándolo con una versión corrupta de uno de sus archivos de soporte para evadir las defensas sin ser detectados.
Los hackers utilizan un ejecutable legítimo de VLC y la DLL maliciosa libvlc.dll
La cadena de infección comienza cuando una víctima hace clic en un enlace del correo de phishing, lo que activa la descarga de un archivo ZIP que contiene dos archivos: un ejecutable y una DLL.
El ejecutable está disfrazado con un nombre de archivo en japonés relacionado con el asunto del correo electrónico, aunque su descripción interna del archivo y su hash coinciden con una compilación genuina del reproductor de medios VLC.
El archivo adjunto, llamado libvlc.dll, es un componente del que VLC normalmente depende para funcionar.
Dado que Windows confía en las aplicaciones firmadas como VLC, ejecutar el ejecutable falso provoca que cargue automáticamente esta DLL maliciosa, una técnica que los investigadores llaman DLL sideloading. Esto permite que el código dañino se ejecute bajo la cobertura de un nombre de programa reconocido y legítimo.
Una vez cargada, la DLL copia ambos archivos a un directorio fijo y crea una entrada en el registro para que el ejecutable se reinicie cada vez que la víctima inicia sesión, asegurando que la infección sobreviva a un reinicio. A partir de ahí, se comunica silenciosamente con un servidor remoto para obtener la carga final de ValleyRAT.
Tácticas de evasión y ejecución sin archivos
El mecanismo de entrega de ValleyRAT hace esfuerzos considerables para evitar ser detectado en un sandbox o entorno de análisis.
Antes de hacer cualquier daño, el malware comprueba la memoria disponible, cuenta los núcleos del procesador y mide cuánto tiempo tarda realmente un comando de suspensión, ya que los entornos de prueba virtuales suelen comportarse de manera diferente a las máquinas reales.
Si alguna de estas comprobaciones sugiere que está siendo vigilado, el malware simplemente se detiene y no hace nada más, lo que hace que sea mucho más difícil para los defensores observar su comportamiento real.
El código también está relleno con grandes cantidades de funciones basura sin sentido, diseñadas puramente para ralentizar a cualquiera que intente realizar ingeniería inversa.
Quizás lo más preocupante es cómo se entrega la carga final. El componente de ValleyRAT descargado, cifrado con un cifrado RC4 simple, se descifra directamente en la memoria y se inyecta en un proceso del sistema suspendido en lugar de guardarse en el disco.
.webp)
Este enfoque sin archivos significa que no queda ningún archivo malicioso obvio que los escaneos antivirus tradicionales puedan capturar.
Los investigadores recomiendan que las organizaciones entrenen a sus empleados para reconocer señales de advertencia, como nombres de archivos ejecutables inusuales en japonés, descripciones de archivos que no coincidan y correos electrónicos comerciales enviados desde dominios de correo web gratuitos.
También se aconseja implementar herramientas de detección de endpoints capaces de detectar el comportamiento de DLL sideloading y la inyección de procesos inusuales, ya que estas técnicas son demasiado técnicas para la formación típica de los empleados por sí sola.
Para las organizaciones ya afectadas, aislar el sistema comprometido de la red y revisar los registros de seguridad para entender qué acciones realizó el atacante son los primeros pasos esenciales. En casos más graves, una reinstalación completa del sistema operativo puede ser el camino más seguro.
Esta campaña es un recordatorio de que la confianza en nombres de software familiares puede ser explotada tan fácilmente como la confianza en extraños. A medida que ValleyRAT continúa evolucionando sus técnicas de evasión, mantenerse alerta a las pequeñas inconsistencias en los correos electrónicos y las propiedades de los archivos sigue siendo una de las mejores defensas disponibles.
Indicadores de Compromiso
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA1 | e8be03f19ada1f5cec74b143e21d4939e781671d | Correo electrónico malicioso |
| Dominio | frehf.oss-cn-hongkong.aliyuncs[.]com | Dominio parte de la URL en el correo malicioso |
| SHA1 | 65168c8dd93b16d3b77092fb70c0fa6fba4dffcc | Archivo ZIP (ejecutable de VLC falso) |
| URL | http://154.92.16.22/xz.bin | URL de descarga de ValleyRAT |
| SHA1 | eca7ed7b699835fadc2c2997a2845864e02b8dfe | Muestra de ValleyRAT cifrada por RC4 |
Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (ej., [.]) para evitar la resolución accidental o el hipervínculo. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/hackers-use-fake-vlc-executable/



Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.