El estado del ransomware 2023

Hace años, era común que los cibercriminales intentaran llegar al máximo de víctimas posibles, pero ahora han cambiado de estrategia y tienden más a la especialización. Es decir, que los ataques son más pensados y dirigidos, para obtener un mayor número de éxitos. Calidad frente a cantidad. Los métodos y las estrategias de los cibercriminales han ido cambiado y evolucionando con los años.

Entonces, cómo puedes saber si estás siendo objeto de investigación por parte de estos indeseables. Conocer el modus operando de los cibercriminales y cómo se están moviendo te permitirás sospechar si tu negocio podría estar en el centro de la diana.

Para ello, Sophos realizó una encuesta y presentó el ebook ¿Cómo se está comportando el ransomware en los últimos meses?, con datos y cifras interesantes que nos dibujan un panorama general sobre cómo y por dónde se mueven los delincuentes. Una de las principales conclusiones es que, independientemente de los ingresos, la geografía o el sector, el ransomware continúa siendo una amenaza importante para las organizaciones.

Pago de rescate y uso de copias de seguridad por ingresos

En general, a medida que los ingresos anuales aumentan, también crece la predisposición de una organización a recuperar los datos pagando el rescate. Al mismo tiempo, la frecuencia del uso de copias de seguridad disminuye. El 55% de las organizaciones recuperó los datos pagando el rescate y el 63% usó copias de seguridad.

Las organizaciones con ingresos anuales más bajos tienen menos dinero para financiar el pago de rescates, lo que las obliga a centrarse en las copias de seguridad para la recuperación de datos. Paralelamente, las organizaciones con mayores ingresos suelen tener infraestructuras de TI complejas, hecho que puede dificultar usar copias de seguridad para recuperar los datos en un tiempo razonable.

Crecimiento del ransomware

Con el crecimiento del modelo de negocio del ransomware como servicio, no prevemos un descenso de los ataques en el próximo año. Las organizaciones deben centrarse en seguir reforzando sus escudos defensivos con:

• Herramientas de seguridad para defenderse ante los vectores de ataque más comunes, incluida la protección de endpoints con sólidas funciones antiexploits para evitar la explotación de vulnerabilidades;
• Zero Trust Network Access (ZTNA) para prevenir el abuso de credenciales comprometidas;
• Tecnologías adaptativas que respondan automáticamente a los ataques, desestabilizando a los adversarios y dando tiempo a los responsables de la seguridad para responder;
• Detección, investigación y respuesta a amenazas 24/7, ya sea internamente o en asociación con un proveedor especializado de servicios de detección y respuesta gestionadas (EDR/XDR).

Por otro lado, es muy importante optimizar la preparación ante los ataques, que incluye realizar copias de seguridad con regularidad, practicar la recuperación de datos a partir de copias de seguridad y mantener un plan de respuesta ante incidentes totalmente actualizado.

Por último, no olvides mantener una buena higiene de seguridad que incluya la aplicación oportuna de parches y la revisión periódica de las configuraciones de las herramientas de seguridad.

Fuente: Muy Seguridad

Seguir leyendo...

Exploit para la vulnerabilidad de elevación de privilegios de Microsoft SharePoint Server (CVE-2023-29357)

En junio de 2023, Microsoft lanzó un parche para una vulnerabilidad crítica de elevación de privilegios en SharePoint, identificada como CVE-2023-29357 (CVSS score: 9.8). Ahora se encuentra disponible un exploit.

Ahora que el exploit es de acceso público, la probabilidad de que entidades maliciosas lo aprovechen ha aumentado sustancialmente. La pronta implementación de los parches y mitigaciones recomendados es crucial para frenar posibles infracciones de seguridad y violaciones de datos.

Un atacante que aprovechara esta falla podría obtener privilegios de nivel de administrador sin requerir autenticación previa. La vulnerabilidad permite a los atacantes falsificar tokens de autenticación JWT, lo que les permite ejecutar un ataque de red, eludir los procesos de autenticación y acceder a los privilegios de un usuario autenticado. Es imperativo tener en cuenta que esto no requiere ninguna interacción por parte del usuario.

Un investigador de StarLabs, Nguyễn Tiến Giang, reveló un análisis exhaustivo de una cadena de exploits compuesta dirigida a SharePoint durante el evento Pwn2Own Vancouver 2023. La cadena implica dos vulnerabilidades clave:

• Omisión de autenticación: un atacante siniestro puede hacerse pasar por cualquier usuario de SharePoint generando JWT válidos y utilizando el algoritmo de firma "ninguno". Esta táctica evita eficazmente las comprobaciones de validación de firmas al verificar los tokens JWT durante los procesos de autenticación de OAuth.
• Inyección de código: los usuarios de SharePoint que poseen permisos de "Propietarios" pueden inyectar código arbitrario. Específicamente, pueden reemplazar el archivo /BusinessDataMetadataCatalog/BDCMetadata.bdcm, lo que hace que el código inyectado se compile en un ensamblado ejecutado por SharePoint posteriormente.

Sin embargo, el principal desafío fue aprovechar la falla de omisión de autenticación para acceder solo a la API de SharePoint y luego identificar una cadena RCE posterior a la autenticación a través de este AP.

Explotación en la naturaleza

Recientemente se lanzó en GitHub un script de explotación público para la vulnerabilidad de SharePoint. El script está diseñado para explotar CVE-2023-29357, lo que permite a los atacantes elevar los privilegios en las instalaciones de SharePoint Server afectadas. Además, los actores maliciosos podrían encadenar esto con otra vulnerabilidad RCE para comprometer gravemente la confidencialidad, integridad y disponibilidad de un sistema.

Para ofrecer una perspectiva más amplia, el script de explotación de GitHub facilita:

• Suplantación de usuario: esto permite a los atacantes ejecutar código arbitrario como la aplicación SharePoint, lo que podría provocar una denegación de servicio (DoS).
• Resultados detallados: el script revela usuarios administradores con privilegios elevados y pueden funcionar tanto en modo de explotación única como masiva.

El script permite la ejecución de código arbitrario dentro del grupo de aplicaciones de SharePoint y la cuenta de la granja de servidores de SharePoint. Puede revelar los detalles de los usuarios administradores con privilegios elevados, como título, correo electrónico, NameId y NameIdIssuer. Cabe señalar que el script puede funcionar tanto en modo de explotación única como en modo masivo.

Aunque el script se centra en la elevación de privilegios, un atacante puede potencialmente encadenar el exploit para la vulnerabilidad CVE-2023-29357 con CVE-2023-24955 (vulnerabilidad de ejecución remota de código de SharePoint Server) para comprometer la integridad, disponibilidad y confidencialidad del sistema de destino.

Los detalles de uso del script para replicar la vulnerabilidad se pueden encontrar en GitHub.

Además, en una publicación de Twitter, un usuario compartió intentos fallidos de explotación relacionados con la vulnerabilidad CVE-2023-29357.

IIS log GET /_api/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 544
GET /_api/web/siteusers/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 72
GET /_api/web/siteusers - 443 - x.x.x.x python-requests/2.28.1 - 401 0 0 591

Actualmente existe miles de SharePoint vulnerables de acuerdo a FOFA y Shodan y Hunter.

Versiones afectadas: ¿Está en riesgo su SharePoint?

Las vulnerabilidades, en particular CVE-2023-29357, afectan directamente a SharePoint Server 2019. La versión probada, donde la cadena de exploits demostró ser exitosa, fue SharePoint 2019 (versión 16.0.10396.20000). Además, las pruebas incorporaron los parches de marzo de 2023 (KB5002358 and KB5002357).

Medidas defensivas

Para las organizaciones que ejecutan SharePoint Server, especialmente la versión 2019, la acción inmediata es vital. Microsoft recomienda instalar todas las actualizaciones de seguridad relacionadas con el software en uso. Se puede acceder al primer parche que aborda esta vulnerabilidad aquí.

Actualizaciones disponibles de Microsoft:

• https://www.microsoft.com/en-us/download/details.aspx?id=105064
• https://www.microsoft.com/en-us/download/details.aspx?id=105078

Si bien la aplicación de parches era el medio principal y más recomendado de protección contra esta vulnerabilidad, Microsoft también destacó algunos factores atenuantes que pueden ser de ayuda:

Integración AMSI y Microsoft Defender: Microsoft informa que los clientes que han activado la función de integración AMSI (Interfaz de escaneo antimalware) y emplean Microsoft Defender en sus granjas de SharePoint Server están protegidos contra esta vulnerabilidad.

Esta capa de seguridad ofrece otro nivel de protección. Para aquellos interesados en implementar AMSI con su SharePoint Server, se puede encontrar una guía paso a paso en la documentación oficial de Microsoft: Configurar la integración de AMSI con SharePoint Server.

Fuente: StarLabs | SOCRadar

Seguir leyendo...

Sony investiga un supuesto ataque y robo de datos

Sony está investigando un presunto ciberataque que habría provocado la filtración de una gran cantidad de datos, de los cuales se han expuesto 3,14GB de manera descomprimida según la información que se tiene hasta ahora. La situación en torno a este hecho se está volviendo un tanto extraña debido a que dos actores o grupos maliciosos reclaman la autoría, con uno rebatiendo al otro.

El primer grupo que se atribuyó la autoría del presunto ciberataque contra Sony se llama RansomedVC, que según su versión ha logrado haquear el sitio web Sony y obtener una gran cantidad de "datos y accesos" con el fin de venderlos. Sobre la gravedad del presunto ciberataque, el grupo ha publicado a través de un sitio web ubicado en la red Tor que han "[comprometido] con éxito todos los sistemas Sony. ¡No permitiremos el rescate! Venderemos los datos debido a que Sony no quiere pagar".

En el sitio en el que RansomedVC se atribuye el ciberataque se puede obtener una muestra de 2MB compuesta por presentaciones de PowerPoint, algunos archivos de código fuente en Java, pantallazos del IDE Eclipse y otros activos. El grupo ha dicho a BleepingComputer que ha conseguido penetrar en las redes de Sony y hacerse con un total de 260GB de datos durante el ataque, los cuales pretende vender por 2,5 millones de dólares estadounidenses.

Un detalle a tener en cuenta es que RansomedVC se considera a sí mismo como un extorsionador en lugar de un grupo dedicado al ransomware, ya que en la actualidad, según sus propias declaraciones, todavía se encuentran desarrollando su software de cifrado.

Cuando parecía que estaba claro que era RansomedVC quien estaba detrás del presunto ciberataque contra Sony, ha aparecido otro actor malicioso llamado MajorNelson que ha reclamado la autoría, refutando además lo dicho por RansomedVC. Para supuestamente demostrar su versión, ha publicado en un foro un archivo comprimido de 2,4GB, que descomprimidos ocupan 3,14GB.

MajorNelson ha dicho que el volcado que ha publicado tiene "muchas credenciales para los sistemas internos de Sony", a las cuales se suman archivos relacionados con SonarQube, Creators Club, certificados de la propia compañía, un emulador de dispositivo para generar licencias, las políticas de respuesta ante incidentes, datos o aspectos relacionados con la seguridad y más cosas.

BleepingComputer ha observado que la muestra de RansomedVC contiene todos los archivos publicados por MajorNelson. Esto, aparte de arrojar muchas dudas sobre la autoría, deja la puerta abierta a diversas situaciones, entre ellas a grupos maliciosos que se están atacando entre sí o que todo sea un circo orquestado en conjunto o por una de las partes, sin que se pueda descartar que ambas partes sean en realidad la misma que actúa con diversas identidades.

MajorNelson ha dicho en la publicación del foro que "RansomedVC son estafadores que solo intentan estafarlo y lograr influencia. Disfrutad de la filtración (la de 3,14GB)". Además, ha criticado a los medios que mencionaron la atribución inicial a RansomedVC, diciéndoles que son "demasiado crédulos y que debería darles vergüenza lo que han hecho".

¿Y qué hay de Sony? La compañía se limita a decir a través de sus canales oficiales que está investigando el asunto, pero este no apunta a ir por ahora en la buena dirección para sus intereses. Lo que tiene Sony a su favor es que la veracidad de los datos no ha sido confirmada oficialmente de momento, pero esto podría cambiar en las próximas horas o días.

De confirmarse el ciberataque y la veracidad de los datos presuntamente filtrados, sería el segundo de gran magnitud que Sony recibiría en una década, ya que en 2014 fue víctima de otro ataque cibernético atribuido al régimen gubernamental de Corea del Norte, el cual derivó en la filtración de contraseñas, certificados e incluso películas que estaban por estrenar. En aquella ocasión se teorizó que el motivo fue la película The Interview (La entrevista), producida por Sony Pictures y que es una comedia que no deja muy bien a Kim Jong-Un, dictador del país asiático.

Fuente: BC

Seguir leyendo...

Vulnerabilidades Zero-Day críticas en EXIM

Cuatro vulnerabilidades Zero-Day críticas en todas las versiones del software del agente de transferencia de correo (MTA) de EXIM puede permitir a atacantes no autenticados obtener ejecución remota de código (RCE) en servidores expuestos a Internet.

Encontrado por un investigador de seguridad anónimo y divulgado a través de la Iniciativa de Día Cero (ZDI) de Trend Micro, la vulnerabilidad más grave  (CVE-2023-42115) se debe a una debilidad de escritura fuera de límites encontrada en el servicio SMTP. Si bien este tipo de problema puede provocar fallas de software o corrupción de datos luego de una explotación exitosa, los atacantes también pueden abusar de él para ejecutar código o comandos en servidores vulnerables.

"El fallo específico existe en el servicio smtp, que escucha en el puerto TCP 25 de forma predeterminada", explica un aviso de seguridad de ZDI publicado el miércoles pasado. "El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final del búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio".

Si bien ZDI informó las vulnerabilidades al equipo de Exim en junio de 2022 y envió información sobre las fallas en mayo de 2023, pero los desarrolladores no proporcionaron una actualización sobre el progreso de su parche.

Como resultado, ZDI publicó un aviso el 27 de septiembre, con detalles sobre el día cero CVE-2023-42115 y un cronograma completo de todos los intercambios con el equipo de Exim.

Millones de servidores expuestos a ataques

Los servidores MTA como Exim son objetivos altamente vulnerables, principalmente porque a menudo se puede acceder a ellos a través de Internet, lo que sirve como puntos de entrada fáciles para los atacantes a la red del objetivo.

La Agencia de Seguridad Nacional (NSA) dijo hace tres años, en mayo de 2020, que el famoso grupo de hacking militar ruso Sandworm ha estado explotando la falla crítica CVE-2019-10149 ("The Return of the WIZard") en Exim desde al menos agosto de 2019.

Exim también es el MTA predeterminado en las distribuciones Debian Linux y el software MTA más popular del mundo, según una encuesta de servidores de correo de septiembre de 2023. Según la encuesta, Exim está instalado en más del 56% de un total de 602.000 servidores de correo accesibles en Internet, lo que representa poco más de 342.000 servidores Exim.

Según una búsqueda de Shodan, actualmente hay poco más de 3,5 millones de servidores Exim expuestos online, la mayoría de ellos en Estados Unidos, seguidos de Rusia y Alemania.

ZDI no proporcionó ninguna indicación de que Exim haya publicado parches para cualquiera de las vulnerabilidades, y en el momento en que esta publicación, el sitio web de Exim no menciona ninguna de las vulnerabilidades o parches. En la lista de correo de OSS-Sec del viernes, un miembro del equipo del proyecto Exim dijo que las correcciones para dos de las vulnerabilidades más graves y una tercera, menos grave, están disponibles en un "repositorio protegido y están listas para ser aplicadas por los mantenedores de la distribución".

• CVE-2023-42114 - https://www.zerodayinitiative.com/advisories/ZDI-23-1468/ 3001 fixed
• CVE-2023-42115 - https://www.zerodayinitiative.com/advisories/ZDI-23-1469/ 2999 fixed
• CVE-2023-42116 - https://www.zerodayinitiative.com/advisories/ZDI-23-1470/ 3000 fixed
• CVE-2023-42117 - https://www.zerodayinitiative.com/advisories/ZDI-23-1471/
• CVE-2023-42118 - https://www.zerodayinitiative.com/advisories/ZDI-23-1472/
• CVE-2023-42119 - https://www.zerodayinitiative.com/advisories/ZDI-23-1473/

"Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación destacada es restringir la interacción con la aplicación", advirtió ZDI. Se recomienda a los administradores restringir el acceso remoto desde Internet para frustrar los intentos de explotación entrantes.

Fuente: BC

Seguir leyendo...

Nuevo Zero-Day de Chrome afecta biblioteca usada en muchos proyectos (Firefox, Skype, Adobe, VLC, Android, etc)

Al igual que un día cero crítico que Google reveló el 11 de septiembre, la nueva vulnerabilidad explotada no afecta solo a Chrome. Mozilla ya ha dicho que su navegador Firefox es vulnerable al mismo error, que se identifica como CVE-2023-5217.

Y al igual que CVE-2023-4863 de hace 17 días, este nuevo error en una biblioteca de códigos ampliamente utilizada para procesar archivos multimedia, específicamente aquellos en formato VP8.

Las páginas aquí y aquí enumeran cientos de paquetes solo para Ubuntu y Debian que dependen de la biblioteca conocida como libvpx. La mayoría de los navegadores lo utilizan, y la lista de software o proveedores que lo admiten parece un quién es quién en Internet, incluidos Skype, Adobe, VLC y Android. Mozilla también lanzó el jueves el parche correspondiente.

No está claro cuántos paquetes de software que dependen de libvpx serán vulnerables a CVE-2023-5217. La divulgación de Google dice que este día cero se aplica a la codificación de vídeo. Por el contrario, el exploit en libwebp, la biblioteca de códigos vulnerable a los ataques de principios de mes, funcionaba para codificar y decodificar.

En otras palabras, CVE-2023-5217 requiere un dispositivo específico para crear medios en formato VP8. Em cambio CVE-2023-4863 podría explotarse cuando un dispositivo simplemente muestra una imagen con un código determinado.

"El hecho de que un paquete dependa de libvpx NO significa necesariamente que sea vulnerable", escribió Will Dorman, analista principal senior de Analygence, en una entrevista en línea. "La vulnerabilidad está en codificación VP8, por lo que si algo usa libvpx solo para decodificar, no tienen nada de qué preocuparse". Incluso con esa importante distinción, es probable que haya muchos más paquetes además de Chrome y Firefox que requerirán parches. "Los navegadores Firefox, Chrome (y los basados en Chromium), además de otras cosas que exponen las capacidades de codificación VP8 desde libvpx a JavaScript (es decir, navegadores web), parecen estar en riesgo", dijo.

Actualmente hay pocos detalles disponibles sobre los ataques disponibles que aprovecharon este último día cero. La publicación de Google sólo decía que el código que explota la falla "existe en la naturaleza". Una publicación en las redes sociales de Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, dijo que "el Zero-Day estaba sindo utilizado por un proveedor de vigilancia comercial". Google le dio crédito a Clement Lecigne del TAG de Google por descubrir la vulnerabilidad el lunes, sólo dos días antes del parche que lanzó el miércoles.

El día cero está parcheado en Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 y Firefox para Android 118.1.

Hay otras similitudes entre los dos días cero. Ambos surgen de desbordamientos de búfer que permiten la ejecución remota de código con poca o ninguna interacción por parte del usuario final, excepto visitar una página web maliciosa. Ambos afectan a las bibliotecas multimedia que Google publicó hace más de una década. Y ambas bibliotecas están escritas en C, un lenguaje de programación de 50 años de antigüedad ampliamente considerado inseguro porque es propenso a sufrir vulnerabilidades de corrupción de memoria.

Una cosa es diferente esta vez: la redacción en el CVE asignado por Google el miércoles es clara: la vulnerabilidad afecta no solo a Chrome sino también a libvpx. Cuando Google asignó CVE-2023-4863, solo mencionó que la vulnerabilidad afectaba a Chrome, lo que generó confusión que, según los críticos, ralentizó la aplicación de parches por parte de otros paquetes de software afectados.

Probablemente pasarán algunos días más hasta que quede claro el alcance completo de CVE-2023-5217. Los desarrolladores del proyecto libvpx no respondieron de inmediato a un correo electrónico preguntando si hay disponible una versión parcheada de la biblioteca o qué se requiere específicamente para explotar el software que utiliza la biblioteca. Por ahora, las personas que utilizan aplicaciones, frameworks de software o sitios web que involucran VP8, especialmente para codificación de video, deben tener cuidado.

Este último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año:

• CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8
• CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
• CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8
• CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP
• CVE-2023-5217 - heap-based buffer overflowin the VP8 compression format in libvpx.

Fuente: Arstechnica

Seguir leyendo...

El mercado del Phishing as a Service

El mercado del Phishing as a Service en la Dark Web y en la Clear Web Te contamos cómo este servicio, que está en auge y ha florecido en la Dark web, también se expande en la Clear Web y en servicios de mensajería como Telegram.

En la era digital, el ciberdelito se ha diversificado y profesionalizado. A medida que la tecnología evoluciona, las técnicas de ciberataque se han vuelto más sofisticadas. En los últimos años, hemos presenciado el auge de un servicio clandestino que preocupa a expertos en ciberseguridad: el Phishing as a Service (PaaS). Este fenómeno, que florece en la Dark Web y sorprendentemente también en la Clear Web, se está convirtiendo en una amenaza creciente.

Por menos de $100, uno puede comprar acceso a una plataforma PaaS con plantillas actualizadas de sitios web populares, garantizando que el aspecto y la sensación sean lo más realistas posible. Además, algunos servicios incluso ofrecen garantías de "satisfacción", prometiendo un cierto número de "víctimas" exitosas.

A través del PaaS, incluso los actores con habilidades técnicas limitadas pueden lanzar ataques de phishing. Por una tarifa, los proveedores ofrecen todo lo necesario: desde sitios web falsificados hasta campañas de correo electrónico masivo y técnicas de evasión de detección.

El Submundo de la Dark Web

La Dark Web, una parte oculta del internet que no está indexada por motores de búsqueda convencionales y es accesible a través de navegadores específicos como Tor, ha sido durante mucho tiempo un mercado negro para todo tipo de actividades ilegales. Es aquí donde el PaaS ha encontrado un terreno fértil.

Diagrama inspirado en el diseño elaborado por el Laboratorio Nacional de Argonne

La Sorpresa de la Clear Web

Lo que es aún más alarmante es la migración de estos servicios a la Clear Web (o surface web), el internet que usamos diariamente. Disfrazados bajo la apariencia de pruebas de seguridad o entrenamientos anti-phishing, algunos sitios en la web convencional ofrecen herramientas y servicios que, en manos equivocadas, pueden ser utilizados para actividades maliciosas.

Estos servicios, al operar en un área gris, hacen que sea aún más difícil para las autoridades rastrear y cerrar dichos sitios, al igual que viene sucediendo hace un tiempo con los sistemas de mensajería como Telegram que son elegidos por los ciberdelincuentes.

Fuente: WeLiveSecurity

Seguir leyendo...

ZeroFont phishing para evadir los filtros de seguridad

Los delincuentes informáticos están utilizando un nuevo truco que consiste en utilizar fuentes de tamaño "cero pixels" en los correos electrónicos para que los emails maliciosos parezcan escaneados de forma segura por las herramientas de seguridad de Microsoft Outlook.

Aunque la técnica de phishing ZeroFont se ha utilizado en el pasado, esta es la primera vez que se documenta su uso de esta manera.

En un nuevo informe del analista de ISC Sans, Jan Kopriva, el investigador advierte que este truco podría marcar una gran diferencia en la efectividad de las operaciones de phishing, y los usuarios deben ser conscientes de su existencia y uso en la naturaleza.

Ataques de "fuente cero"

El método de ataque ZeroFont, documentado por primera vez por Avanan en 2018, es una técnica de phishing que explota fallas en la forma en que la IA y los sistemas de procesamiento del lenguaje natural (NLP) en las plataformas de seguridad del correo electrónico analizan el texto.

Implica insertar palabras o caracteres ocultos en los correos electrónicos estableciendo el tamaño de fuente en cero, haciendo que el texto sea invisible para los objetivos humanos y, al mismo tiempo, manteniéndolo legible mediante algoritmos de PNL.

Este ataque tiene como objetivo evadir los filtros de seguridad mediante la inserción de términos invisibles y benignos que se mezclan con contenido visible sospechoso, distorsionando la interpretación que hace la IA del contenido y el resultado de los controles de seguridad.

En su informe de 2018, Avanan advirtió que ZeroFont eludió la Protección avanzada contra amenazas (ATP) de Office 365 de Microsoft incluso cuando los correos electrónicos contenían palabras clave maliciosas conocidas.

<span style="mso-hide:all;display:none !important;font-size:0;max-height:0;line-height:0;visibility:hidden;
overflow:hidden;opacity:0;color:transparent;height:0;width:0;">
Scanned and secured by IscAdvanced Threat protection (APT): 9/22/2023T6:42 AM
</span>

Análisis falsos de AVs

En un nuevo correo electrónico de phishing visto por Kopriva, un actor de amenazas utiliza el ataque ZeroFont para manipular las vistas previas de mensajes en clientes de correo electrónico ampliamente utilizados, como Microsoft Outlook. Específicamente, el correo electrónico en cuestión mostraba un mensaje diferente en la lista de correo electrónico de Outlook que en el panel de vista previa.

Como puede verse, el panel de lista de correo electrónico dice "Escaneado y protegido por Isc®Advanced Threat Protection (APT): 22/9/2023T6:42 AM", mientras que el comienzo del correo electrónico en el panel de vista previa/lectura muestra "Trabajo Oferta | Oportunidad de Empleo".

Esta discrepancia se logra aprovechando ZeroFont para ocultar el mensaje de análisis de seguridad falso al comienzo del correo electrónico de phishing, de modo que aunque no sea visible para el destinatario, Outlook aún lo captura y lo muestra como una vista previa en el panel de lista de correo electrónico.

El objetivo es inculcar una falsa sensación de legitimidad y seguridad en el destinatario. Al presentar un mensaje engañoso de análisis de seguridad, aumenta la probabilidad de que el objetivo abra el mensaje e interactúe con su contenido.

Es posible que Outlook no sea el único cliente de correo electrónico que toma la primera parte de un correo electrónico para obtener una vista previa del mensaje sin comprobar si el tamaño de fuente es válido, por lo que también se recomienda estar atentos a los usuarios de otro software.

Fuente: BC

Seguir leyendo...

Lazarus sigue robando millones de USD en criptomonedas

Los ciberdelincuentes de la República Popular Democrática de Corea (RPDC) del grupo Lazarus robaron 55 millones de dólares del exchange de criptomonedas CoinEx.

El ataque tuvo lugar el martes 12 de septiembre, según publicó CoinEx en un comunicado, en el que explicó que dijo que los atacantes encontraron una filtración de algunas de sus claves privadas y las utilizaron para robar activos Ether, Tron y Matic de algunas de las carteras calientes de la compañía.

Quien vinculó al ataque con el grupo cibercriminal fue un investigador de Blockchain, ZachBXT, quien conectó parte de los fondos robados yendo hacia la misma dirección que almacena los activos sustraídos en el reciente hackeo del sitio de juegos cripto Stake.com.

Estos mismos actores de la RPDC también son responsables de varios otros robos internacionales de moneda virtual de alto perfil. Sólo en 2023, los ciberactores de Lazarus han robado más de 200 millones de dólares. Esta cantidad incluye, entre otros, aproximadamente $60 millones de moneda virtual de Alphapo y CoinsPaid el 22 de julio de 2023 o alrededor de esa fecha, y aproximadamente $100 millones de moneda virtual de Atomic Wallet el 2 de junio de 2023 o alrededor de esa fecha.

Anteriormente, el FBI proporcionó información al público sobre los ataques de la RPDC contra el puente Horizon de Harmony y el puente Ronin de Sky Mavis y publicó un aviso de ciberseguridad sobre Trader Traitor. Además, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó al Grupo Lazarus en 2019.

Según los datos recopilados en Dune Analytics de 21.co, la empresa matriz de 21Shares, los monederos asociados con Lazarus Group poseen actualmente alrededor de U$S47 millones en activos digitales, incluyendo U$S42.5 millones en BTC, U$S1.9 millones en Ether. Sin embargo, la cantidad de criptomonedas parece haber caído desde los USD 86 millones que el grupo tenía el 6 de septiembre, unos días después del hackeo de Stake.com en el que Lazarus estuvo implicado.

Sin embargo, Chainalysis informó que los robos de criptomonedas por parte de hackers vinculados a Corea del Norte se redujeron en un 80% desde 2022. A mediados de septiembre, los grupos vinculados a Corea del Norte habían robado un total de USD 340.4 millones en criptomonedas, por debajo del récord de USD 1,650 millones en activos digitales robados en 2022.

La firma dijo que Corea del Norte ha estado utilizando varios intercambios con sede en Rusia desde 2021. Uno de los eventos de lavado más grandes involucró USD 21.9 millones en fondos transferidos del hackeo de U$S 100 millones del puente de Harmony el 24 de junio de 2022.

Sorprendentemente, el grupo no posee ninguna moneda privada, como Monero XMR, Zcash, ZEC, que son mucho más difíciles de rastrear. Por su parte, los criptomonederos de Lazarus siguen siendo muy activos, y la transacción más reciente se registró el 20 de septiembre.

Fuente: CoinTelegraph

Seguir leyendo...

Cierran DeepNude: aplicación que "desnudaba" a cualquier mujer mediante IA

El creador de DeepNude ha decidido cerrar la aplicación por los problemas con el servidor y porque asegura que "el mundo aún no está preparado para ella". En un segundo tweet, la cuenta de DeepNude emitió un pequeño comunicado donde explican que "subestimaron mucho" el interés que despertaría su aplicación, por lo que al final confirmaron que cerrarán el proyecto ya que "la probabilidad de que la gente haga mal uso de éste es demasiado alta".

DeepNude era una aplicación que utilizaba inteligencia artificial y redes neuronales para eliminar la ropa de imágenes de mujeres y recrear desnudos ultra realistas. Se trataba de una evolución de los llamados 'Deep Fakes', un algoritmo que nos anticipa el gran potencial que tiene esta tecnología así como su impacto en la sociedad.

Funcionaba de manera sencilla. DeepNude permite subir una imagen de una mujer con ropa y crea una nueva imagen de la misma persona pero donde se ha eliminado la camiseta, sujetador, bikini o cualquier prenda que tape sus partes. Una imagen marcada como "FAKE" por el propio programa, pero con un resultado bastante realista y que bien podría pasar por una imagen real.

Una aplicación que solo recreaba imágenes de mujeres

Acceder a DeepNudes era muy sencillo ya que estaba disponible online a través de una página web. Esta versión de pago tenía inicialmente un coste de 50 dólares como informa Motherboard, pero debido previsiblemente a la atención generada ha subido el coste a 99,99 dólares. Pudiendo pagar con tarjeta o a través de criptomonedas.

Dicho esto, la aplicación consigue creaba desnudos en segundos. Era tan sencilla que realmente asusta. Los desnudos falsos han existido en internet desde hace años pero con los deepfakes entramos en una nueva fase, mucho más peligrosa ya que deja en manos de cualquier persona poder generar una imagen así. Ya no hacen falta conocimientos de edición, es el algoritmo el que se encarga. Un algoritmo que únicamente funciona con mujeres, ya que cuando lo probamos con una imagen de un hombre en vez de mostrar un pene, añade de nuevo una vulva y tetas de mujer.

Como muestra el autor en su cuenta oficial, DeepNude estaba basado en las gafas de visión de rayos X que prometían ver a través de la ropa. El "superpoder que siempre quisiste tener", según reza el lema oficial de la aplicación.

Estamos "ante una invasión de la privacidad sexual" comenta a Vice Danielle Citron, profesor de derecho de la Universidad de Maryland que recientemente testificó en el Congreso por el uso de los deepfakes. Y es que la llegada de estos desnudos falsos generados por algoritmo suponen un nuevo capítulo en los peligros de los deepfakes.

Basada en un algoritmo Open Source

Los datos de DeepNude se guardan en local y no se suben a la nube indica la página web. El autor de la aplicación no ha querido revelar su identidad real, aunque dice llamarse 'Alberto' y procedente de Estonia. Sí explica más detalles sobre cómo funciona el algoritmo de DeepNude. El software estaría basado en pix2pix, un algoritmo open source desarrollado por la Universidad de California, Berkeley en 2017.

Se trata de un algoritmo que utiliza redes neuronales para tratar con una gran base de datos de imágenes. En este caso, más de 10.000 imágenes de mujeres desnudas que el programador habría utilizado para "entrenar" a la inteligencia artificial.

Mientras que los vídeos de deepfakes tardan horas en renderizar, estas imágenes son generadas en menos de un minuto. "Las redes son múltiples, cada una tiene una tarea diferente. Localizar la ropa, seleccionarla, especular con las posiciones del cuerpo y renderizarlo", un proceso que según explica el autor "puede hacerse en 30 segundos en un ordenador normal y puede ser mejorado en el futuro".

Otras apps con IA que desnudan personas

ClothOff, Live3d y SnapDreess son otras aplicaciones que se hicieron famosas por tomar una fotografía de una mujer y desnudarla al momento. Son gratuitas aunque ofrece servicios de pago y también señala en sus términos de servicio que "al cargar un archivo u otro contenido o al hacer un comentario, el usuario declara y garantiza que al hacerlo no viola ni infringe los derechos de nadie más".

Además, avisa que "con respecto a cualquier archivo o contenido que cargue en las partes públicas de nuestro sitio, usted nos otorga una licencia mundial no exclusiva, libre de regalías, perpetua e irrevocable (con derechos de sublicencia y cesión) para usar, mostrar en línea y en cualquier medios presentes o futuros, para crear trabajos derivados, para permitir descargas y/o distribuir dicho archivo o contenido".

Clothoff tiene como eslogan la frase: "¡Desnuda a una chica gratis!". No obstante, funciona también con hombres. Y tiene una aplicación disponible tanto para Telegram, iOS y Android.

Fuente: ElHacker | Xataka

Seguir leyendo...

DeepFake: roban la voz de Stephen Fry con una IA

Stephen Fry, el clásico narrador de la saga de libros de "Harry Potter", asegura que una IA ha utilizado su participación en la saga para robar su voz.

Los pequeños artistas no son los únicos que se han visto afectados por la IA. Las malas prácticas de las compañías han llegado también hasta los grandes de la industria. Este es el caso de Stephen Fry, una de las voces británicas más reconocibles, y que además ha sido víctima de robo por parte de la inteligencia artificial.

Stephen Fry reveló al mundo este hecho durante el festival CogX, llevado a cabo en Londres, Inglaterra. Desde aquí, el actor reproducía ante sus seguidores un trozo de documental, narrado con su voz. Sin embargo, tras terminar, Fry se levantó y aseguró que ninguna de esas palabras había salido de su boca, y tampoco había dado su permiso para que alguien la usara. Tanto el actor como los asistentes del evento estaban igual de sorprendidos. Era culpa de la IA.

Según comenta Stephen Fry, los creadores de dicha inteligencia artificial habrían empleado su lectura de los siete libros de la saga Harry Potter para alimentarla y entrenarla. Después de eso, la ofrecieron al mercado para quien desease utilizarla en sus creaciones.

Recordemos que uno de los trabajos más ilustres de Stephen Fry en su larga trayectoria ha sido narrar los libros de Harry Potter en Reino Unido, pero él no ha dado permiso a nadie para utilizarla.

La situación asustó a Stephen Fry. Después de todo, y en sus propias palabras, "podrían hacerme leer cualquier cosa, desde una llamada a asaltar al parlamento hasta porno duro, todo ello sin mi consentimiento. Esto es solo audio", aseguró Fry tras llamar a sus agentes, quienes estaban igual de sorprendidos por la situación. "Lo que se escuchó no fue el resultado de una compilación, sino que proviene de una voz artificial flexible en la que las palabras se modulan de tal manera que corresponden al significado de cada oración. No tardará demasiado hasta que los vídeos deepfake sean igual de convincentes".

Esta situación vivida por Stephen Fry ha sucedido justamente cuando la industria de Hollywood está viviendo su mayor huelga en los últimos 60 años. Actores, guionistas, y muchos otros puestos de la industria cinematográfica han unido en la protesta por los bajos salarios, las condiciones actuales de trabajo y la utilización de la inteligencia artificial para abaratar costes de formas poco éticas.

Por su parte, el sindicato de actores SAG-AFTRA, del que Fry forma parte, asegura que algunos estudios han negociado crear copias digitales de actores de fondo. De esta forma, se pueden reutilizar en otras producciones sin ninguna compensación o consentimiento. Esto, por supuesto, no ha gustado a nadie.

Stephen Fry no es el primer actor de voz en sufrir los efectos de la IA. A mediados de 2022, un grupo de actores para comerciales confirmaron que una empresa había robado sus voces para utilizarlas en anuncios. Todo esto, por supuesto, sin consentimiento o retribución de ningún tipo. Una escena distópica donde las haya.

Fuente: HyperTextual

Seguir leyendo...