DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🚨 Alerta de amenazas: creciente actividad de ransomware y vulnerabilidades críticas 🚨

#vulnerability #cybercrime #privacy #security

πŸ€– Auto-generated daily threat intelligence digest β€” March 15, 2026

Resumen diario de threat intelligence del 15 de marzo de 2026, donde se analizan las ΓΊltimas amenazas y vulnerabilidades que afectan a la seguridad de las organizaciones. En este artΓ­culo, exploraremos la creciente actividad de ransomware y las vulnerabilidades crΓ­ticas que deben ser abordadas de inmediato. Las fuentes consultadas incluyen a AWS Security, BleepingComputer, Group-IB, MSRC Microsoft, SANS ISC y The Hacker News.

ThreatIntel β€” SmartApeSG campaign usa pΓ‘gina ClickFix para empujar Remcos RAT, (Sat, Mar 14th)

πŸ” QuΓ© estΓ‘ pasando

  • La campaΓ±a SmartApeSG estΓ‘ utilizando una pΓ‘gina ClickFix para distribuir el Remcos RAT.
  • El ataque implica una pΓ‘gina web maliciosa que se presenta como una pΓ‘gina de soluciΓ³n de problemas de clics.
  • No se proporciona informaciΓ³n sobre la vulnerabilidad asociada (CVE ID no mencionada).

⚠️ Por qué importa

La campaΓ±a SmartApeSG puede ser una amenaza significativa para las organizaciones y usuarios que no tienen medidas de seguridad adecuadas en su lugar de trabajo. El Remcos RAT es un troyano que puede permitir a los atacantes acceder a la informaciΓ³n confidencial del dispositivo, incluyendo la informaciΓ³n de inicio de sesiΓ³n y los datos de la tarjeta de crΓ©dito. AdemΓ‘s, el ataque por remoto puede provocar daΓ±os irreparables a la reputaciΓ³n de la organizaciΓ³n afectada.

βš™οΈ CΓ³mo funciona

El ataque comienza cuando el usuario visita la pΓ‘gina ClickFix maliciosa. La pΓ‘gina se presenta como una pΓ‘gina de soluciΓ³n de problemas de clics y solicita que el usuario actualice su navegador o instale un complemento para solucionar el problema. En realidad, la pΓ‘gina estΓ‘ diseΓ±ada para descargarse el Remcos RAT en el dispositivo del usuario. Una vez que el troyano estΓ‘ instalado, los atacantes pueden acceder al dispositivo y realizar acciones maliciosas, como robar informaciΓ³n confidencial o tomar control remoto del dispositivo.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: PΓ‘gina ClickFix maliciosa.
  • Parches disponibles: No se proporciona informaciΓ³n sobre parches disponibles.
  • Recomendaciones concretas: Actualizar el navegador y los complementos, evitar visitar pΓ‘ginas desconocidas y utilizar un antivirus actualizado para protegerse contra el Remcos RAT.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” CVE-2026-26017 CoreDNS ACL Bypass

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en CoreDNS que permite el bypass de ACL (Acceso Control de Listas).
  • La vulnerabilidad tiene el identificador CVE-2026-26017.
  • La informaciΓ³n publicada indica que se trata de una vulnerabilidad crΓ­tica.

⚠️ Por qué importa

La vulnerabilidad en CoreDNS puede permitir a atacantes acceder a recursos y datos confidenciales que no deberΓ­an estar disponibles. Esto puede tener graves consecuencias para organizaciones que utilizan CoreDNS, ya que un atacante podrΓ­a aprovechar esta vulnerabilidad para obtener acceso no autorizado a sistemas y datos sensibles. La publicaciΓ³n de esta vulnerabilidad puede provocar una respuesta de parcheo urgente para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad en CoreDNS se debe a una falla en la implementaciΓ³n de ACL, que permite a los atacantes acceder a recursos y datos que no deberΓ­an estar disponibles. La vulnerabilidad se puede aprovechar mediante la explotaciΓ³n de una condiciΓ³n especΓ­fica en el cΓ³digo de CoreDNS, lo que permite al atacante bypassar las restricciones de ACL y acceder a recursos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • Parches disponibles: Microsoft ha publicado parches para la vulnerabilidad CVE-2026-26017 en CoreDNS.
  • IOCs: AΓΊn no se han publicado IOCs especΓ­ficos para esta vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan CoreDNS deben aplicar los parches disponibles de inmediato para mitigar el riesgo de la vulnerabilidad. AdemΓ‘s, se recomienda realizar una auditorΓ­a de seguridad para identificar y corregir cualquier configuraciΓ³n de ACL insegura.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-26018 CoreDNS Loop Detection Denial of Service Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en CoreDNS conocida como CVE-2026-26018.
  • Esta vulnerabilidad afecta a la detecciΓ³n de bucle, lo que puede provocar un ataque de denegaciΓ³n de servicio (DoS).
  • Microsoft ha publicado informaciΓ³n sobre la vulnerabilidad en su sitio web de seguridad.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-26018 puede ser explotada por atacantes para causar un ataque de denegaciΓ³n de servicio (DoS) en servidores que utilizan CoreDNS. Esto puede provocar problemas de rendimiento o incluso la caΓ­da del servidor. Las organizaciones que dependen de CoreDNS para resolver nombres de dominio DNS deben tomar medidas para mitigar esta vulnerabilidad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2026-26018 se debe a una falla en la detecciΓ³n de bucle en CoreDNS. Cuando un atacante envΓ­a un paquete de DNS especΓ­ficamente diseΓ±ado, CoreDNS puede entrar en un bucle infinito, lo que provoca un consumo excesivo de recursos y puede provocar un ataque de denegaciΓ³n de servicio (DoS).

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad CVE-2026-26018 en su sitio web de seguridad.
  • IOCs: Los atacantes pueden utilizar paquetes de DNS especΓ­ficamente diseΓ±ados para explotar la vulnerabilidad.
  • Recomendaciones: Las organizaciones deben aplicar el parche de seguridad disponible y monitorear su sistema para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-23868

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha publicado informaciΓ³n sobre una nueva vulnerabilidad.
  • No se proporcionan detalles adicionales sobre el tipo de vulnerabilidad o su impacto.
  • El CVE ID asignado es CVE-2026-23868.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre una vulnerabilidad por parte de Microsoft puede ser un indicio de que la vulnerabilidad ya ha sido identificada y es susceptible de ser explotada por atacantes. Esto puede tener un impacto significativo para organizaciones que no hayan implementado medidas de mitigaciΓ³n adecuadas, lo que podrΓ­a llevar a la exposiciΓ³n de datos confidenciales o la ejecuciΓ³n de cΓ³digo malicioso.

βš™οΈ CΓ³mo funciona

Aunque no se proporcionan detalles tΓ©cnicos sobre la vulnerabilidad, es probable que se trate de una vulnerabilidad en el software de Microsoft que permita a un atacante ejecutar cΓ³digo arbitrario o acceder a informaciΓ³n confidencial. La vulnerabilidad podrΓ­a ser explotada a travΓ©s de una acciΓ³n especΓ­fica, como la ejecuciΓ³n de un archivo malicioso o la navegaciΓ³n a una pΓ‘gina web comprometida.

πŸ‘οΈ QuΓ© vigilar

  • IOC: No se proporcionan IOCs directos, pero se recomienda mantenerse al tanto de cualquier actualizaciΓ³n de seguridad de Microsoft relacionada con la vulnerabilidad CVE-2026-23868.
  • Parches disponibles: Microsoft publicarΓ‘ parches de seguridad para la vulnerabilidad una vez que se hayan completado las pruebas y la validaciΓ³n.
  • Recomendaciones: Organizaciones y usuarios deben mantener sus sistemas y aplicaciones de Microsoft actualizados con las ΓΊltimas versiones de seguridad y seguir las mejores prΓ‘cticas de seguridad para evitar la exposiciΓ³n a vulnerabilidades.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-31802 node-tar Symlink Path Traversal via Drive-Relative Linkpath

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en el paquete node-tar que permite un ataque de travesΓ­a de paths mediante enlaces simbΓ³licos (Symlink Path Traversal).
  • El ataque se puede ejecutar mediante un enlace de disco relativo.
  • La vulnerabilidad se identificΓ³ con el ID CVE-2026-31802.

⚠️ Por qué importa

La vulnerabilidad en node-tar puede permitir a un atacante acceder a archivos y directorios no autorizados, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo malicioso o la exfiltraciΓ³n de datos confidenciales. Esto puede ser especialmente perjudicial en entornos de desarrollo y pruebas, donde la seguridad de los proyectos puede estar comprometida.

βš™οΈ CΓ³mo funciona

El ataque se produce cuando el paquete node-tar procesa un archivo tar que contiene un enlace de disco relativo. El enlace de disco relativo permite al atacante especifiar un path que puede ser interpretado como un path absoluto, lo que permite acceder a archivos y directorios no autorizados.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se estΓ‘ utilizando el paquete node-tar en la aplicaciΓ³n.
  • Actualizar a la versiΓ³n mΓ‘s reciente del paquete node-tar.
  • Habilitar la validaciΓ³n de enlaces de disco relativos en el paquete node-tar.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-3381 Compress::Raw::Zlib versions through 2.219 for Perl usan potencialmente versiones inseguras de zlib

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en las versiones de Compress::Raw::Zlib para Perl hasta la 2.219.
  • La vulnerabilidad se debe a que estas versiones utilizan versiones potencialmente inseguras de zlib.
  • El CVE ID afectado es CVE-2026-3381.

⚠️ Por qué importa

La vulnerabilidad puede permitir ataques de seguridad, como la ejecuciΓ³n de cΓ³digo arbitrario, si se explota correctamente. Las organizaciones que utilizan Compress::Raw::Zlib en sus aplicaciones o servicios deben tomar medidas para mitigar el riesgo. Si no se parchean, las vulnerabilidades pueden ser explotadas por atacantes, lo que puede llevar a la pΓ©rdida de confianza de los clientes y daΓ±os financieros.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la forma en que Compress::Raw::Zlib utiliza versiones de zlib inseguras. Cuando se utiliza la funciΓ³n de compresiΓ³n, se puede ejecutar cΓ³digo arbitrario si se envΓ­a un paquete malicioso que explote la vulnerabilidad. Esto puede ocurrir si un atacante envΓ­a un paquete de compresiΓ³n malicioso a una aplicaciΓ³n que utiliza Compress::Raw::Zlib.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft recomienda actualizar Compress::Raw::Zlib a versiones mΓ‘s seguras.
  • IOCs: Se deben vigilar paquetes de compresiΓ³n sospechosos que puedan contener cΓ³digo malicioso.
  • Recomendaciones: Las organizaciones deben revisar sus aplicaciones y servicios para asegurarse de que estΓ©n utilizando versiones seguras de Compress::Raw::Zlib y aplicar parches de seguridad disponibles.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” AmpliaciΓ³n de acceso a cuentas de AWS a travΓ©s de IAM Identity Center

πŸ” QuΓ© estΓ‘ pasando

  • La funcionalidad de IAM Identity Center de AWS permite a las organizaciones extender el acceso a cuentas de AWS a mΓΊltiples regiones.
  • La replicaciΓ³n de regiones se habilita automΓ‘ticamente cuando se agrega un nuevo Region.
  • Los usuarios reciben un punto de conexiΓ³n de acceso portal activo en la nueva regiΓ³n.

⚠️ Por qué importa

La ampliaciΓ³n de acceso a cuentas de AWS a travΓ©s de IAM Identity Center puede tener un impacto significativo en la seguridad de las organizaciones que dependen de AWS. Si la regiΓ³n principal experimenta una interrupciΓ³n, los usuarios pueden seguir accediendo a las cuentas de AWS en la regiΓ³n secundaria, lo que ayuda a minimizar la interrupciΓ³n del servicio. Sin embargo, esto tambiΓ©n puede aumentar el riesgo de ataques de inyecciΓ³n de credenciales o phishing, ya que los usuarios pueden acceder a cuentas de AWS desde diferentes regiones.

βš™οΈ CΓ³mo funciona

La replicaciΓ³n de regiones de IAM Identity Center se basa en la replicaciΓ³n de la configuraciΓ³n de acceso y la autenticaciΓ³n entre regiones. Cuando se agrega un nuevo Region, AWS crea un punto de conexiΓ³n de acceso portal activo en la nueva regiΓ³n, lo que permite a los usuarios acceder a las cuentas de AWS desde allΓ­. La replicaciΓ³n de regiones se realiza automΓ‘ticamente y no requiere intervenciΓ³n manual.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: No se requiere parche especΓ­fico para esta funcionalidad.
  • Recomendaciones: Las organizaciones deben evaluar cuidadosamente la necesidad de extender el acceso a cuentas de AWS a mΓΊltiples regiones y configurar la replicaciΓ³n de regiones de IAM Identity Center segΓΊn sea necesario.
  • Monitoreo de actividad: Las organizaciones deben monitorear la actividad de acceso en las cuentas de AWS en todas las regiones para detectar cualquier actividad anormal.

πŸ”— Fuente consultada: AWS Security

Cibercrimen β€” El auge de los estafas de rastreo de envΓ­os falsos en MEA

πŸ” QuΓ© estΓ‘ pasando

  • Los ciberdelincuentes estΓ‘n creando sitios web falsos que imitan a empresas de rastreo de envΓ­os para estafar a los usuarios.
  • Estos sitios web suelen tener URLs muy similares a las de las empresas legΓ­timas.
  • Los usuarios reciben correos electrΓ³nicos con enlaces a estos sitios web falsos, donde se les pide que proporcionen sus credenciales de seguridad.

⚠️ Por qué importa

La estafa de rastreo de envΓ­os falsos puede tener un impacto significativo en las organizaciones y los usuarios. Los ciberdelincuentes pueden obtener acceso a credenciales de seguridad, lo que les permite robar identidades, realizar operaciones de pago no autorizadas y comprometer la confidencialidad de la informaciΓ³n. AdemΓ‘s, esta estafa puede ser difΓ­cil de detectar, ya que los sitios web falsos pueden ser muy similares a los legΓ­timos.

βš™οΈ CΓ³mo funciona

Los ciberdelincuentes crean sitios web falsos que imitan a empresas de rastreo de envΓ­os, como FedEx o UPS. Estos sitios web suelen tener URLs muy similares a las de las empresas legΓ­timas, lo que puede llevar a los usuarios a creer que estΓ‘n en un sitio web seguro. Cuando un usuario ingresa a uno de estos sitios web falsos, se le pide que proporcione sus credenciales de seguridad, como nombre de usuario y contraseΓ±a. Una vez que el usuario proporciona sus credenciales, los ciberdelincuentes pueden acceder a su cuenta y realizar operaciones no autorizadas.

πŸ‘οΈ QuΓ© vigilar

  • IOC: URLs de sitios web falsos similares a empresas de rastreo de envΓ­os legΓ­timas.
  • Parche disponible: AsegΓΊrate de verificar la autenticidad de los sitios web de rastreo de envΓ­os antes de proporcionar tus credenciales de seguridad.
  • RecomendaciΓ³n: Si recibes un correo electrΓ³nico con un enlace a un sitio web de rastreo de envΓ­os, asegΓΊrate de verificar la autenticidad del sitio web antes de proporcionar tus credenciales de seguridad.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” Six Supply Chain Attack Groups to Watch Out for in 2026

πŸ” QuΓ© estΓ‘ pasando

  • Se identificaron seis grupos de ataque de cadena de suministro que estΓ‘n comprometiendo SaaS, software de cΓ³digo abierto y proveedores de servicios de sistemas de informaciΓ³n (MSP) en 2026.
  • Estos grupos estΓ‘n utilizando vulnerabilidades en la cadena de suministro para atacar a las organizaciones a travΓ©s de sus proveedores.
  • Los grupos estΓ‘n comprometiendo plataformas de npm, que son ampliamente utilizadas en la industria de la tecnologΓ­a.

⚠️ Por qué importa

La seguridad de la cadena de suministro es un problema crΓ­tico para las organizaciones, ya que un ataque en la cadena de suministro puede tener un impacto significativo en la seguridad y la confiabilidad de la infraestructura de TI. Los grupos de ataque estΓ‘n aprovechando vulnerabilidades en la cadena de suministro para atacar a las organizaciones a travΓ©s de sus proveedores, lo que puede llevar a la exposiciΓ³n de datos confidenciales y la pΓ©rdida de credibilidad.

βš™οΈ CΓ³mo funciona

Los grupos de ataque estΓ‘n comprometiendo plataformas de npm, que son ampliamente utilizadas en la industria de la tecnologΓ­a. Los atacantes estΓ‘n utilizando vulnerabilidades en la cadena de suministro para introducir malware en las dependencias de npm, que luego son utilizadas por los desarrolladores para crear aplicaciones y servicios. Esto permite a los atacantes acceder a la infraestructura de TI de las organizaciones y comprometer la seguridad de la cadena de suministro.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Establecer un monitoreo de seguridad para detectar actividades sospechosas relacionadas con la cadena de suministro.
  • Parches disponibles: Actualizar las dependencias de npm y aplicar los parches disponibles para evitar la exposiciΓ³n a vulnerabilidades.
  • Recomendaciones concretas: Realizar una auditorΓ­a de la cadena de suministro para identificar vulnerabilidades y tomar medidas para mitigar el riesgo de ataques.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” GTFire Phishing Scheme: Evitando la detecciΓ³n usando servicios de Google

πŸ” QuΓ© estΓ‘ pasando

  • Los ciberdelincuentes de GTFire estΓ‘n utilizando servicios de Google, como Firebase y Google Translate, para escalar campaΓ±as de phishing a nivel global.
  • El esquema se utiliza para evitar la detecciΓ³n por parte de los sistemas de seguridad.
  • El ataque implica la creaciΓ³n de sitios web de phishing que se ajustan a la geolocalizaciΓ³n del usuario y la idioma del navegador.

⚠️ Por qué importa

El uso de servicios de Google por parte de GTFire para evitar la detecciΓ³n es un ejemplo de cΓ³mo los ciberdelincuentes estΓ‘n aprovechando las herramientas y servicios legΓ­timos para llevar a cabo sus actividades maliciosas. Esto puede tener un impacto significativo en las organizaciones y usuarios, ya que el phishing es una de las tΓ‘cticas de ciberataque mΓ‘s comunes y efectivas. Las vΓ­ctimas pueden perder informaciΓ³n confidencial, dinero y otros activos valiosos.

βš™οΈ CΓ³mo funciona

El esquema de GTFire utiliza Google Firebase para crear sitios web de phishing que se ajustan a la geolocalizaciΓ³n del usuario y la idioma del navegador. Esto se logra mediante la utilizaciΓ³n de APIs de Google Translate para traducir el sitio web al idioma del navegador del usuario. AdemΓ‘s, GTFire utiliza Google Firebase para almacenar y gestionar la informaciΓ³n de los usuarios, lo que les permite escalar sus campaΓ±as de phishing a nivel global.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Investigar y detectar sitios web que utilicen APIs de Google Translate y Firebase para evitar la detecciΓ³n.
  • Parches disponibles: Actualizar los sistemas de seguridad para detectar y bloquear sitios web que utilicen estas tΓ‘cticas de evasiΓ³n.
  • Recomendaciones concretas: Las organizaciones deben estar atentas a las nuevas tΓ‘cticas de evasiΓ³n utilizadas por los ciberdelincuentes y actualizar sus sistemas de seguridad para evitar la detecciΓ³n. AdemΓ‘s, los usuarios deben ser conscientes de los riesgos del phishing y tomar medidas de seguridad para proteger sus credenciales y datos personales.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” Operation Olalampo: DetrΓ‘s de la ΓΊltima campaΓ±a de MuddyWater

πŸ” QuΓ© estΓ‘ pasando

  • MuddyWater APT ha lanzado una nueva operaciΓ³n cibernΓ©tica, denominada Operation Olalampo.
  • Se han desplegado variantes de malware nuevos.
  • Se utiliza bots de Telegram para control de comando.

⚠️ Por qué importa

La campaΓ±a de MuddyWater puede tener un impacto significativo en organizaciones que no tengan medidas de seguridad adecuadas. La utilizaciΓ³n de Telegram bots para control de comando es una estrategia innovadora que puede ser difΓ­cil de detectar. AdemΓ‘s, el despliegue de malware nuevos puede aprovechar vulnerabilidades no conocidas hasta el momento.

βš™οΈ CΓ³mo funciona

MuddyWater utiliza bots de Telegram para establecer una comunicaciΓ³n segura con sus malware, lo que les permite realizar acciones como la exfiltraciΓ³n de datos, la ejecuciΓ³n de comandos y la instalaciΓ³n de otras herramientas de espionaje. Los malware utilizados en esta campaΓ±a parecen ser variantes de herramientas ya conocidas, pero con funcionalidades actualizadas.

πŸ‘οΈ QuΓ© vigilar

  • Buscar trΓ‘fico anormal hacia bots de Telegram en la red.
  • Actualizar software y parchear vulnerabilidades conocidas.
  • Monitorear acciones sospechosas de usuarios que utilicen Telegram, especialmente si se han detectado conexiones con direcciones IP desconocidas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Infraestructura de MΓ‘quinas Virtuales Maliciosas en Indonesia

πŸ” QuΓ© estΓ‘ pasando

  • Los ciberdelincuentes estΓ‘n aprovechando la temporada de impuestos en Indonesia para lanzar una campaΓ±a de fraude utilizando aplicaciones falsas de Coretax.
  • Se ha detectado una infraestructura de MΓ‘quinas como Servicio (MaaS) industrializada detrΓ‘s de la campaΓ±a, lista para atacar en cualquier lugar.
  • La infraestructura comparte malware y tΓ©cnicas de evasiΓ³n de detecciΓ³n.

⚠️ Por qué importa

La campaΓ±a de fraude en Indonesia no es aislada y puede extenderse a otras regiones. La existencia de una infraestructura de MaaS industrializada pone en peligro a organizaciones y usuarios de todo el mundo. Los ciberdelincuentes pueden utilizar esta infraestructura para lanzar ataques personalizados y escalables contra sus objetivos.

βš™οΈ CΓ³mo funciona

La infraestructura de MaaS se utiliza para alojar y distribuir malware y herramientas de evasiΓ³n de detecciΓ³n. Los ciberdelincuentes pueden acceder a esta infraestructura para lanzar ataques en masa y adaptarse rΓ‘pidamente a las medidas de seguridad implementadas por las vΓ­ctimas. La infraestructura tambiΓ©n se utiliza para compartir tΓ©cnicas de evasiΓ³n de detecciΓ³n y mejorar la eficacia de los ataques.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar la apariciΓ³n de aplicaciones falsas de Coretax y otros servicios de impuestos en lΓ­nea.
  • Actualizar los sistemas y aplicaciones con los ΓΊltimos parches de seguridad.
  • Monitorear el trΓ‘fico de red y detectar cualquier actividad sospechosa que pueda estar relacionada con la infraestructura de MaaS.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” OpenClaw AI Agent Flaws Could Enable Prompt Injection and Data Exfiltration

πŸ” QuΓ© estΓ‘ pasando

  • La CNCERT de China alerta sobre debilidades de seguridad en OpenClaw, un agente de inteligencia artificial autΓ³noma de cΓ³digo abierto y autoalojado.
  • Las configuraciones de seguridad por defecto de la plataforma son consideradas dΓ©biles.
  • Se informa que el uso de OpenClaw puede permitir inyecciΓ³n de comandos y exfiltraciΓ³n de datos.

⚠️ Por qué importa

La vulnerabilidad en OpenClaw puede tener un impacto significativo en las organizaciones que utilizan este agente de inteligencia artificial autΓ³noma. Los atacantes podrΓ­an aprovechar las debilidades de seguridad para acceder a informaciΓ³n confidencial y realizar acciones maliciosas, lo que podrΓ­a llevar a una pΓ©rdida de datos, reputaciΓ³n y recursos. AdemΓ‘s, la inyecciΓ³n de comandos y la exfiltraciΓ³n de datos pueden comprometer la integridad de la informaciΓ³n y comprometer la seguridad en general.

βš™οΈ CΓ³mo funciona

Las debilidades de seguridad en OpenClaw se deben a las configuraciones de seguridad por defecto dΓ©biles, que permiten a los atacantes acceder al sistema y realizar acciones maliciosas. La inyecciΓ³n de comandos se puede realizar mediante la manipulaciΓ³n de los comandos que se envΓ­an al agente de inteligencia artificial, lo que permite a los atacantes ejecutar cΓ³digo malicioso y acceder a informaciΓ³n confidencial. La exfiltraciΓ³n de datos se puede realizar mediante la creaciΓ³n de canales de comunicaciΓ³n encubiertos entre el agente de inteligencia artificial y los servidores de los atacantes.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: No se proporcionan IOCs especΓ­ficos en la noticia.
  • Parches disponibles: No se menciona la existencia de parches disponibles para abordar la vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan OpenClaw deben revisar y fortalecer sus configuraciones de seguridad por defecto, implementar medidas de autorizaciΓ³n y control de acceso, y monitorear sus sistemas para detectar cualquier actividad sospechosa.

πŸ”— Fuente consultada: The Hacker News

Cibercrimen β€” GlassWorm Supply-Chain Attack Abuses 72 Open VSX Extensions to Target Developers

πŸ” QuΓ© estΓ‘ pasando

  • Los investigadores de ciberseguridad han detectado una nueva iteraciΓ³n de la campaΓ±a GlassWorm que supone una "escalada significativa" en cΓ³mo se propaga a travΓ©s del registro Open VSX.
  • La amenaza utiliza extensionPack y extensionDependencies para convertir extensiones aisladas en transitivas.
  • Se han identificado 72 extensiones de Open VSX vulnerables.

⚠️ Por qué importa

Este ataque de cadena de suministro puede tener un impacto significativo en las organizaciones que dependen de las extensiones de Open VSX. Los desarrolladores que utilizan estas extensiones pueden verse comprometidos, lo que puede provocar la exposiciΓ³n de datos confidenciales y la ejecuciΓ³n de cΓ³digo malicioso. AdemΓ‘s, la escalada de la campaΓ±a GlassWorm sugiere que la amenaza puede seguir evolucionando y volverse mΓ‘s sofisticada.

βš™οΈ CΓ³mo funciona

La campaΓ±a GlassWorm utiliza extensionPack y extensionDependencies para inyectar un cargador malicioso en extensiones de Open VSX iniciales. Esto permite que el cargador se propague a travΓ©s de la cadena de dependencias de las extensiones, lo que puede comprometer a mΓΊltiples desarrolladores y organizaciones. El cargador puede incluir malware que permite a los atacantes acceder a sistemas de la vΓ­ctima y exfiltrar datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: 72 extensiones de Open VSX vulnerables.
  • Parches disponibles: Ninguno mencionado en la noticia.
  • Recomendaciones concretas: Las organizaciones que dependen de las extensiones de Open VSX deben revisar cuidadosamente la cadena de dependencias de sus extensiones y aplicar actualizaciones de seguridad urgentemente.

πŸ”— Fuente consultada: The Hacker News

Vulnerabilidad β€” Microsoft libera parche OOB para Windows 11 para corregir la vulnerabilidad de RCE en RRAS

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft ha lanzado un parche fuera de la banda (OOB) para corregir una vulnerabilidad de seguridad que afecta a dispositivos Windows 11 Enterprise que reciben actualizaciones hotpatch en lugar de las actualizaciones cumulativas de Patch Tuesday.
  • La vulnerabilidad es una falla de ejecuciΓ³n de cΓ³digo remoto (RCE) en el servicio de red de acceso remoto (RRAS).
  • El parche estΓ‘ disponible para dispositivos que reciben actualizaciones hotpatch.

⚠️ Por qué importa

Esta vulnerabilidad es crΓ­tica, ya que permite a un atacante ejecutar cΓ³digo arbitrario en un dispositivo Windows 11 Enterprise. Si un atacante logra explotar esta vulnerabilidad, puede obtener acceso no autorizado a la informaciΓ³n del dispositivo y realizar acciones daΓ±inas. Las organizaciones que utilizan dispositivos Windows 11 Enterprise deben aplicar el parche lo antes posible para evitar posibles ataques.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a una falla de validaciΓ³n en el servicio RRAS, lo que permite a un atacante enviar paquetes de red maliciosos que pueden ejecutar cΓ³digo arbitrario en el dispositivo. El atacante puede aprovechar esta vulnerabilidad para obtener acceso no autorizado a la informaciΓ³n del dispositivo, realizar acciones daΓ±inas o incluso instalar malware.

πŸ‘οΈ QuΓ© vigilar

  • Aplicar el parche OOB de Microsoft lo antes posible.
  • Verificar que los dispositivos Windows 11 Enterprise estΓ©n configurados para recibir actualizaciones hotpatch.
  • Monitorear el trΓ‘fico de red para detectar posibles intentos de explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: BleepingComputer

Top comments (0)