Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
5311
)
-
▼
julio
(Total:
29
)
-
EE. UU. levanta controles de exportación sobre Cla...
-
Nuevo ataque "BioShocking" manipula navegadores co...
-
Múltiples vulnerabilidades de Apache Tomcat permit...
-
NotebookLM crea vídeos cortos desde tus apuntes
-
Claude Sonnet 5: más barata y potente
-
Anthropic reactiva Claude Fable 5 tras el levantam...
-
Citrix corrige seis vulnerabilidades de NetScaler ...
-
GIGABYTE lanza la AORUS RTX 5080 INFINITY
-
Actualización de Chrome corrige 382 vulnerabilidad...
-
Cientos de millones de intentos de Password Spray ...
-
Un coleccionista de tarjetas gráficas muestra cole...
-
Expertos en ciberseguridad pierden la fe en las he...
-
GuardFall revela que los agentes de IA de código a...
-
Explotan vulnerabilidad RCE en Langflow para despl...
-
Reserva tu nombre en WhatsApp
-
Claude Code de Anthropic usaría código oculto para...
-
X lanza servidores MCP para conectar Cursor, Claud...
-
IBM lidera con chip de 0,7 nm para IA
-
Expertos en seguridad engañaron a LLMs para obtene...
-
Usan malware SystemBC para ocultar tráfico C2 y ma...
-
Nueva puerta trasera de Windows Mistic permite eje...
-
Vulnerabilidades en AirDrop y Quick Share permiten...
-
Ford vuelve a contratar humanos tras fallos de la IA
-
Apple se quedará sin memorias de CXMT al priorizar...
-
IA reemplazará antes a programadores que a camioneros
-
Donkey Kong 64 llega a PC este verano
-
Vulnerabilidad de SimpleHelp explotada para desple...
-
Microsoft extiende la disponibilidad de hotpatchin...
-
AMD avisa a sus socios: las GPU Radeon volverían a...
-
-
▼
julio
(Total:
29
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Diez sitios web permiten conseguir eBooks gratuitos de forma legal como complemento ideal para los lectores de libros electrónicos.
-
Han logrado ejecutar Windows 11 en un PC antiguo con memoria DDR1, Core 2 Quad y gráfica AGP , superando las restricciones de hardware del ...
-
Selección de 75 juegos para PC con pocos requisitos y buenos gráficos, ideales para disfrutar en equipos antiguos sin necesidad de actuali...
Vulnerabilidad de SimpleHelp explotada para desplegar TaskWeaver Loader
Una vulnerabilidad crítica de omisión de autenticación en el software de Monitoreo y Gestión Remota (RMM) de SimpleHelp está siendo explotada activamente.
Esto permite que los atacantes desplieguen malware avanzado, incluyendo un cargador recientemente identificado, TaskWeaver, y una herramienta de robo de información, Djinn Stealer.
Investigadores de seguridad del Adversary Pursuit Group (APG) de Blackpoint confirmaron que la cadena de intrusión comienza con la explotación de CVE-2026-48558.
Este fallo afecta al proceso de autenticación OpenID Connect (OIDC), permitiendo a los atacantes saltarse la autenticación mediante el envío de tokens de identidad falsificados que carecen de una validación de firma adecuada.
Explotación del fallo de omisión de autenticación de SimpleHelp
Como resultado, los actores de amenazas pueden obtener acceso no autorizado de nivel técnico a servidores de SimpleHelp expuestos. Una vez dentro, los atacantes aprovechan el entorno de confianza de RMM para ejecutar acciones maliciosas que parecen legítimas.
En los ataques observados, los adversarios utilizaron las capacidades integradas de SimpleHelp para transferir archivos y ejecutar comandos remotamente en los sistemas gestionados, aumentando significativamente el radio de impacto.
.webp)
El payload inicial desplegado es TaskWeaver, un cargador basado en Node.js fuertemente ofuscado y disfrazado de un archivo inofensivo llamado jquery.js.
A pesar de su nombre, el archivo no está relacionado con la biblioteca legítima jQuery. Se ejecuta a través de node.exe y actúa como un mecanismo de entrega flexible en lugar de un payload de malware tradicional.
TaskWeaver establece una comunicación cifrada con la infraestructura controlada por el atacante y recupera dinámicamente payloads adicionales.
Utiliza una combinación de cifrado AES-256-GCM y RSA-2048 para asegurar su tráfico de comando y control (C2), lo que dificulta su detección y análisis.
En lugar de incrustar comandos fijos, TaskWeaver opera como un cargador modular que puede ejecutar payloads de JavaScript arbitrarios, permitiendo efectivamente a los atacantes adaptar sus operaciones en tiempo real.
.webp)
El payload de segunda etapa identificado en esta campaña es Djinn Stealer, un ladrón de información multiplataforma dirigido a sistemas Windows, macOS y Linux.
Djinn está diseñado para recolectar una amplia gama de datos sensibles, incluyendo: credenciales de servicios en la nube (AWS, Azure, Google Cloud), tokens de control de fuentes y de desarrollador (GitHub, configuraciones de Git).
Credenciales de registros de paquetes (npm, PyPI, Maven), secretos de infraestructura y claves SSH, datos del navegador y tokens de sesión, billeteras de criptomonedas y credenciales de herramientas de desarrollo de IA.
Notablemente, el robo de tokens de asistentes de IA presenta un riesgo significativo. Estos tokens a menudo otorgan acceso a repositorios, bases de datos y entornos de nube.
.webp)
Los atacantes pueden heredar los mismos permisos otorgados a las herramientas de IA, extendiendo la vulnerabilidad mucho más allá del sistema inicialmente infectado. El ataque demuestra cómo una sola omisión de autenticación puede desencadenar una brecha a gran escala.
Al abusar de una plataforma RMM de confianza, los atacantes obtienen acceso centralizado a múltiples endpoints y entornos de clientes, particularmente en escenarios de proveedores de servicios gestionados (MSP).
Los indicadores de compromiso (IoCs) asociados con esta campaña incluyen la ejecución sospechosa de Node.js (node.exe ejecutando jquery.js), conexiones a dominios trycloudflare y comunicación C2 con dominios similares como variantes de dev-tunnels.
Djinn Stealer también genera archivos de reconocimiento, como env.json y processList.txt, durante su ejecución.
Indicadores de Compromiso (IoCs)
| Categoría | Indicador | Valor |
|---|---|---|
| Archivo | TaskWeaver | jquery.js |
| TaskWeaver SHA-256 | 00cc86d1144020c24c8fbb3a8dc6b908926497ebd23be3bf854360f93d1c8f4c | |
| Djinn Stealer | upload | |
| Djinn Stealer SHA-256* | f4a72600a3735c2a4d843875ea61bbb6f935a1af51a81f2fbc992ce11ba94afc | |
| Red | Staging del cargador | *.trycloudflare[.]com |
| TaskWeaver C2 | a[.]dev-tunnels[.]com | |
| TaskWeaver URI | POST /api/<base64url>.<base64url>.<base64url> | |
| Exfiltración Djinn Stealer | 96[.]126[.]130[.]126:58942 | |
| User-Agent | telemetry-client/1.0 | |
| Host y Comportamiento | Ejecución | node.exe <ruta>\jquery.js |
| Artefactos de reconocimiento | processList.txt, linux-process-env.json, env.json, telemetry.json, user-dirs.txt |
Nota: Las direcciones IP y los dominios han sido "desactivados" intencionalmente (por ejemplo, [.]) para evitar la resolución accidental o el hipervínculo. Actívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Tras los informes de explotación activa, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido el CVE-2026-48558 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), enfatizando la urgencia de la remediación.
Blackpoint APG recomienda parchear inmediatamente SimpleHelp, restringir la exposición a internet, aplicar una autenticación fuerte y rotar las credenciales potencialmente expuestas.
Tú y tu organización deberían tratar cualquier credencial accesible desde sistemas comprometidos como totalmente comprometida. Esta campaña resalta una tendencia creciente en los ciberataques donde el acceso inicial es solo el primer paso.
El objetivo real es robar credenciales y tokens que permitan un acceso persistente y posterior en plataformas de nube, tuberías de desarrollo e infraestructura empresarial.
Fuentes:
https://cybersecuritynews.com/simplehelp-authentication-bypass-vulnerability-exploited/


Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.