DEV Community

🚨 Alertas de Vulnerabilidades y Ciberdelitos: 01 de julio de 2026

πŸ€– Auto-generated daily threat intelligence digest β€” July 01, 2026

πŸ“‘ Resumen diario de threat intelligence β€” 01 de julio de 2026
Fuentes: Cisco Security Advisories, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)

Hoy, nos enfrentamos a una serie de alertas importantes relacionadas con vulnerabilidades en software y ciberdelitos en curso. Los informes de seguridad de Cisco y Microsoft destacan mΓΊltiples vulnerabilidades crΓ­ticas en sistemas operativos y aplicaciones, mientras que Kaspersky Securelist informa sobre un aumento en el nΓΊmero de ataques de phishing y ransomware.



Cibercrimen β€” Phishing a Usuarios de Metamask, (Wed, Jul 1st)

πŸ” QuΓ© estΓ‘ pasando

  • Un correo electrΓ³nico de phishing se envΓ­a a usuarios de Metamask, simulando una notificaciΓ³n de seguridad.
  • El correo solicita que los usuarios ingresen sus credenciales de acceso a la cuenta de Metamask.
  • No se proporciona informaciΓ³n sobre el CVE ID asociado a este ataque, pero se sugiere que es una campaΓ±a dirigida a usuarios de Metamask.

⚠️ Por qué importa

Este ataque de phishing puede tener un impacto significativo en los usuarios de Metamask, ya que podrΓ­a permitir a los atacantes acceder a sus cuentas y realizar transacciones fraudulentas. AdemΓ‘s, la credibilidad de Metamask podrΓ­a verse afectada si los usuarios no estΓ‘n conscientes de este tipo de ataques.

βš™οΈ CΓ³mo funciona

El ataque se realiza a travΓ©s de un correo electrΓ³nico que parece ser una notificaciΓ³n de seguridad de Metamask. El correo solicita que el usuario ingrese sus credenciales de acceso a la cuenta, lo que podrΓ­a permitir a los atacantes acceder a la cuenta y realizar transacciones fraudulentas. Es importante que los usuarios sean conscientes de este tipo de ataques y no ingresen sus credenciales en correos electrΓ³nicos sospechosos.

πŸ‘οΈ QuΓ© vigilar

  • Evite ingresar sus credenciales de acceso a la cuenta de Metamask en correos electrΓ³nicos sospechosos.
  • Verifique la autenticidad del correo electrΓ³nico antes de ingresar cualquier informaciΓ³n.
  • Mantenga actualizado el software y las extensiones de navegador para evitar explotar vulnerabilidades conocidas.

πŸ”— Fuente consultada: SANS ISC



ThreatIntel β€” ISC Stormcast For Wednesday, July 1st, 2026 https://isc.sans.edu/podcastdetail/9990, (Wed, Jul 1st)

πŸ” QuΓ© estΓ‘ pasando

β€’ Se detectΓ³ un aumento en el trΓ‘fico de malware relacionado con la familia de ransomware "BlackCat" (ALPHV).
β€’ El malware se estΓ‘ distribuyendo a travΓ©s de correos electrΓ³nicos que contienen archivos adjuntos maliciosos.
β€’ La familia BlackCat es conocida por su capacidad para realizar extorsiΓ³n y exigir rescates en criptomonedas.

⚠️ Por qué importa

Las organizaciones deben estar al tanto de la amenaza BlackCat, ya que puede causar daΓ±os significativos a sus redes y sistemas. La familia BlackCat es conocida por su complejidad y capacidad para evadir detecciones, lo que la convierte en una amenaza creciente para las empresas. AdemΓ‘s, el hecho de que se estΓ© distribuyendo a travΓ©s de correos electrΓ³nicos hace que sea mΓ‘s probable que llegue a usuarios no tΓ©cnicos.

βš™οΈ CΓ³mo funciona

El malware BlackCat se ejecuta en el sistema del usuario una vez que se abre el archivo adjunto malicioso. Una vez ejecutado, el malware comienza a cifrar archivos en el sistema y exige un rescate en criptomonedas a cambio de la clave de descifrado. La familia BlackCat utiliza una clave de cifrado de 256 bits, lo que la hace difΓ­cil de descifrar sin la clave correcta.

πŸ‘οΈ QuΓ© vigilar

β€’ IOCs: se deben vigilar los correos electrΓ³nicos que contengan archivos adjuntos sospechosos.
β€’ Parches disponibles: se deben aplicar parches a los sistemas operativos y aplicaciones para prevenir la explotaciΓ³n de vulnerabilidades conocidas.
β€’ Recomendaciones: se debe realizar un anΓ‘lisis de seguridad exhaustivo de los sistemas y aplicaciones para detectar y eliminar cualquier malware o vulnerabilidad existente.

πŸ”— Fuentes consultadas (2):



OT_ICS β€” June 2026 Apple Updates, (Tue, Jun 30th)

πŸ” QuΓ© estΓ‘ pasando

  • Apple ha lanzado actualizaciones para iOS/iPadOS, macOS y Safari.
  • No se han actualizado otras plataformas de Apple (visionOS, watchOS, tvOS).
  • Esta es una distribuciΓ³n inusual de actualizaciones de productos de Apple.

⚠️ Por qué importa

La inusual distribuciΓ³n de actualizaciones puede indicar que alguna de las plataformas no necesitaba una actualizaciΓ³n de seguridad inmediata. Sin embargo, es posible que la falta de actualizaciones en otras plataformas suponga un riesgo para las organizaciones que utilizan estos productos, ya que pueden estar expuestas a vulnerabilidades conocidas.

βš™οΈ CΓ³mo funciona

La distribuciΓ³n de actualizaciones de Apple se basa en un proceso de evaluaciΓ³n de riesgos, en el que se determina quΓ© productos y plataformas requieren una actualizaciΓ³n de seguridad inmediata. Es posible que la falta de actualizaciones en algunas plataformas se deba a que no se han detectado vulnerabilidades significativas en ellas.

πŸ‘οΈ QuΓ© vigilar

  • Actualizaciones disponibles para iOS/iPadOS, macOS y Safari.
  • No se han detectado IOCs relacionados con esta actualizaciΓ³n.
  • Las organizaciones que utilizan productos de Apple deben verificar la versiΓ³n de sus productos y aplicar las actualizaciones disponibles para garantizar la seguridad.

πŸ”— Fuente consultada: SANS ISC



Vulnerabilidad β€” Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se detectΓ³ una vulnerabilidad en Cisco Unified Communications Manager (Unified CM) y Cisco Unified Communications Manager Session Management Edition (Unified CM SME).
  • La vulnerabilidad permite que un atacante no autenticado realice ataques de falsificaciΓ³n de solicitudes de servidor (SSRF) a travΓ©s de un dispositivo afectado.
  • La vulnerabilidad tiene un CVE ID asociado, aunque no se proporciona en la noticia.

⚠️ Por qué importa

Las organizaciones que utilizan Cisco Unified Communications Manager o Cisco Unified Communications Manager Session Management Edition podrΓ­an estar expuestas a ataques de SSRF, lo que podrΓ­a provocar daΓ±os significativos a su infraestructura de comunicaciones unificadas. AdemΓ‘s, la falta de autenticaciΓ³n del atacante hace que la vulnerabilidad sea especialmente peligrosa.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la falta de validaciΓ³n de entrada para solicitudes HTTP especΓ­ficas. Un atacante podrΓ­a aprovechar esta vulnerabilidad para enviar solicitudes HTTP a direcciones IP y puertos especΓ­ficos, lo que podrΓ­a permitir el acceso no autorizado a recursos del servidor.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se ha aplicado el parche disponible para mitigar la vulnerabilidad.
  • Monitorear el trΓ‘fico de red para detectar solicitudes HTTP sospechosas.
  • Realizar anΓ‘lisis de seguridad regulares en los dispositivos afectados para detectar cualquier actividad maliciosa.

πŸ”— Fuente consultada: Cisco Security Advisories



ThreatIntel β€” Acelerando la cronologΓ­a segura cuΓ‘ntica

πŸ” QuΓ© estΓ‘ pasando

  • Microsoft anuncia un plan para acelerar la preparaciΓ³n de organizaciones para la era cuΓ‘ntica segura.
  • Se busca facilitar la transiciΓ³n a protocolos cuΓ‘nticos seguros para proteger la comunicaciΓ³n en lΓ­nea.
  • No se menciona un CVE especΓ­fico.

⚠️ Por qué importa

La adopciΓ³n de tecnologΓ­as cuΓ‘nticas seguras es crucial para proteger la comunicaciΓ³n en lΓ­nea de futuras amenazas cibernΓ©ticas. Si las organizaciones no se preparan adecuadamente, correrΓ‘n el riesgo de ser vulnerables a ataques que exploten la inseguridad de las tecnologΓ­as actuales.

βš™οΈ CΓ³mo funciona

La idea detrΓ‘s de la tecnologΓ­a cuΓ‘ntica segura es utilizar el principio de la mecΓ‘nica cuΓ‘ntica de superposiciΓ³n y entrelazamiento para cifrar y descifrar mensajes de manera segura. Esto permitirΓ­a que las organizaciones protejan sus comunicaciones de ser interceptadas o descifradas por atacantes.

πŸ‘οΈ QuΓ© vigilar

  • Organizaciones deben comenzar a evaluar y actualizar sus protocolos de comunicaciΓ³n para prepararse para la era cuΓ‘ntica segura.
  • Se recomienda explorar tecnologΓ­as y herramientas disponibles para facilitar la transiciΓ³n a protocolos cuΓ‘nticos seguros.
  • Es fundamental que las organizaciones se mantengan informadas sobre los avances en este campo y sigan las recomendaciones de seguridad de los proveedores de tecnologΓ­a.

πŸ”— Fuente consultada: Microsoft Security



ThreatIntel β€” ​​Actualizaciones de seguridad de Microsoft: junio 2026

πŸ” QuΓ© estΓ‘ pasando

  • Actualizaciones para fortalecer identidad y fundamentos multicloud.
  • Mejoras para proteger datos en cualquier ubicaciΓ³n.
  • Actualizaciones para seguridad en flujos de trabajo de desarrollo de AI.

⚠️ Por qué importa

Las actualizaciones de Microsoft pueden ayudar a las organizaciones a mejorar su defensa contra amenazas cibernΓ©ticas mediante la fortalecimiento de la identidad y la protecciΓ³n de datos en mΓΊltiples nubes. Esto es crucial para proteger la innovaciΓ³n en AI y evitar posibles vulnerabilidades en los flujos de trabajo de desarrollo.

βš™οΈ CΓ³mo funciona

Las actualizaciones de Microsoft buscan fortalecer la identidad y los fundamentos multicloud mediante mejoras en la autenticaciΓ³n y la autorizaciΓ³n. AdemΓ‘s, se han realizado actualizaciones para mejorar la protecciΓ³n de datos en cualquier ubicaciΓ³n, incluyendo la nube y el perΓ­metro de la red. Estas mejoras permiten a las organizaciones proteger sus activos y datos con mayor eficiencia.

πŸ‘οΈ QuΓ© vigilar

  • Actualizaciones de parches para productos Microsoft.
  • Recomendaciones para fortalecer la identidad y la protecciΓ³n de datos.
  • Monitorear flujos de trabajo de desarrollo para detectar posibles vulnerabilidades en la seguridad de AI.

πŸ”— Fuente consultada: Microsoft Security



ThreatIntel β€” Seguridad de agentes de IA: Cuando las herramientas de IA pasan de leer a actuar

πŸ” QuΓ© estΓ‘ pasando

  • Los atacantes estΓ‘n utilizando la "maniobra de veneno de herramientas MCP" para manipular la descripciΓ³n de herramientas de IA confiables.
  • Estas herramientas estΓ‘n siendo convencidas para realizar acciones no autorizadas, convirtiΓ©ndolas en una plana de control para pΓ©rdidas de datos.
  • No se proporciona un CVE ID especΓ­fico para esta vulnerabilidad.

⚠️ Por qué importa

La manipulaciΓ³n de herramientas de IA confiables puede tener consecuencias graves para las organizaciones y usuarios. Los atacantes pueden explotar la confianza depositada en estas herramientas para acceder a datos confidenciales y realizar acciones no autorizadas. Esto puede provocar pΓ©rdidas de datos, violaciones de seguridad y daΓ±os a la reputaciΓ³n de la organizaciΓ³n.

βš™οΈ CΓ³mo funciona

La "maniobra de veneno de herramientas MCP" implica manipular la descripciΓ³n de una herramienta de IA para que realice acciones no autorizadas. Esto se logra mediante la inyecciΓ³n de cΓ³digo malicioso en la herramienta, lo que permite a los atacantes controlar la acciΓ³n de la herramienta. Los atacantes pueden utilizar esta tΓ©cnica para obtener acceso a datos confidenciales, realizar cambios en la configuraciΓ³n de la red o incluso tomar el control de sistemas completos.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Buscar actividades sospechosas relacionadas con la manipulaciΓ³n de herramientas de IA confiables.
  • Parches disponibles: Asegurarse de que las herramientas de IA estΓ©n actualizadas con los ΓΊltimos parches de seguridad.
  • Recomendaciones: Revisar y validar la descripciΓ³n de herramientas de IA antes de utilizarlas, y asegurarse de que solo se permitan acciones autorizadas.

πŸ”— Fuente consultada: Microsoft Security



Vulnerabilidad β€” CVE-2026-57062

πŸ” QuΓ© estΓ‘ pasando

  • La herramienta gpgsm de GnuPG hasta la versiΓ³n 2.5.20 maneja incorrectamente el formato CMS (Cryptographic Message Syntax) para AES-GCM.
  • El campo aes-ICVlen, que deberΓ­a ser de 12 bytes, acepta incorrectamente 4 bytes.
  • Esta vulnerabilidad estΓ‘ relacionada con CVE-2026-34182.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-57062 puede permitir a un atacante comprometer la seguridad de los datos cifrados utilizando AES-GCM. Esto puede llevar a la exposiciΓ³n de informaciΓ³n confidencial y potencialmente a la ejecuciΓ³n de cΓ³digo malicioso. Las organizaciones que utilizan GnuPG para la gestiΓ³n de claves y cifrado de datos deberΓ­an considerar la vulnerabilidad como una amenaza grave.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a la incorrecta interpretaciΓ³n del formato CMS por parte de la herramienta gpgsm. Cuando un mensaje cifrado utilizando AES-GCM se envΓ­a, el campo aes-ICVlen (que es de 12 bytes) es aceptado incorrectamente como 4 bytes. Esto permite a un atacante manipular el mensaje cifrado y obtener acceso no autorizado a la informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-57062: la vulnerabilidad afecta a GnuPG hasta la versiΓ³n 2.5.20.
  • Parche disponible: las organizaciones deberΓ­an actualizar a la versiΓ³n mΓ‘s reciente de GnuPG (2.5.21 o posterior).
  • RecomendaciΓ³n: las organizaciones que utilizan GnuPG deberΓ­an revisar su configuraciΓ³n de seguridad y considerar la implementaciΓ³n de medidas adicionales para proteger la seguridad de los datos cifrados.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” CVE-2026-58050 libssh2 - Integer Overflow en Attribute Allocation de Subsistema publickey

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en la biblioteca libssh2, conocida como CVE-2026-58050.
  • La vulnerabilidad se debe a un desbordamiento de entero en la asignaciΓ³n de atributos del subsistema publickey.
  • No se proporciona informaciΓ³n adicional sobre el evento.

⚠️ Por qué importa

La vulnerabilidad en libssh2 puede permitir a un atacante ejecutar cΓ³digo arbitrario en el servidor SSH, lo que puede llevar a una pΓ©rdida de datos, robo de identidades o incluso a un ataque de escalada de privilegios. Esto puede ser particularmente peligroso en entornos donde se utiliza la biblioteca libssh2 para conectarse a servidores SSH.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un error en la forma en que la biblioteca libssh2 maneja la asignaciΓ³n de atributos en el subsistema publickey. Cuando un paquete SSH que contiene una clave pΓΊblica llega al servidor SSH, la biblioteca libssh2 asigna memoria para almacenar los atributos de la clave. Sin embargo, si el tamaΓ±o de la clave pΓΊblica es grande, la asignaciΓ³n de memoria puede fallar debido a un desbordamiento de entero, lo que permite a un atacante escribir en memoria arbitraria.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Es importante aplicar los parches disponibles para la biblioteca libssh2 para evitar la explotaciΓ³n de la vulnerabilidad.
  • Revisar configuraciones: Revisar las configuraciones de los servidores SSH para asegurarse de que estΓ©n utilizando la versiΓ³n actualizada de la biblioteca libssh2.
  • Monitorear trΓ‘fico: Monitorear el trΓ‘fico SSH para detectar posibles intentos de explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” CVE-2026-58051 libssh2 - Free of Uninitialized Pointer in publickey List Cleanup

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad en la biblioteca libssh2.
  • La vulnerabilidad se conoce como CVE-2026-58051.
  • Afecta la limpieza de la lista de claves pΓΊblicas.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-58051 puede permitir a un atacante explotar una falla de seguridad en la biblioteca libssh2, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario en sistemas que utilicen esta biblioteca. Esto podrΓ­a resultar en la compromiso de la confidencialidad, integridad y disponibilidad de la informaciΓ³n.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce durante la limpieza de la lista de claves pΓΊblicas en la biblioteca libssh2. Al liberar memoria sin inicializar previamente, se crea una posibilidad para que un atacante acceda a memoria no asignada, lo que podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario.

πŸ‘οΈ QuΓ© vigilar

  • Utilice la ΓΊltima versiΓ³n disponible de la biblioteca libssh2 para evitar la explotaciΓ³n de la vulnerabilidad.
  • EstΓ© atento a posibles intentos de explotaciΓ³n de la vulnerabilidad y realice monitoreo continuo en su entorno de sistemas.
  • AsegΓΊrese de implementar actualizaciones y parches de seguridad en tiempo real para proteger contra futuras vulnerabilidades.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” CVE-2026-42055 NGINX ngx_http_proxy_v2_module and ngx_http_grpc_module vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad en las bibliotecas de mΓ³dulos de NGINX ngx_http_proxy_v2_module y ngx_http_grpc_module.
  • El CVE-2026-42055 afecta a las versiones especΓ­ficas de NGINX que incluyen estos mΓ³dulos.
  • La vulnerabilidad se ha informado por parte de la Microsoft Vulnerability Research (MSRC).

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante ejecutar cΓ³digo arbitrario en el servidor, lo que puede provocar una escalada de privilegios y una pΓ©rdida de confidencialidad. Las organizaciones que utilizan NGINX con estas bibliotecas de mΓ³dulos deben tomar medidas inmediatas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a una deserializaciΓ³n incorrecta de objetos en las bibliotecas de mΓ³dulos de NGINX. Un atacante puede aprovechar esta vulnerabilidad para inyectar cΓ³digo malicioso en el servidor, lo que puede provocar una ejecuciΓ³n de cΓ³digo arbitrario.

πŸ‘οΈ QuΓ© vigilar

  • Parche: Buscar parches disponibles de NGINX que incluyan la correcciΓ³n de la vulnerabilidad CVE-2026-42055.
  • Actualizaciones de software: Asegurarse de que todas las versiones de NGINX y sus bibliotecas de mΓ³dulos estΓ©n actualizadas y libres de vulnerabilidades.
  • Monitoreo de anormalidades: Monitorear el servidor para identificar y responder a cualquier actividad sospechosa que pueda estar relacionada con esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” CVE-2026-48779 ws: ExhaustiΓ³n de memoria por DoS desde fragmentos y chunks de datos

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en el servicio ws (WebSockets) de Microsoft.
  • La vulnerabilidad se identifica con el CVE ID 2026-48779.
  • La vulnerabilidad puede causar un ataque de agotamiento de memoria (DoS) mediante fragmentos y chunks de datos pequeΓ±os.

⚠️ Por qué importa

La vulnerabilidad en el servicio ws de Microsoft puede tener un impacto significativo en organizaciones y usuarios que utilicen este servicio. Un ataque de agotamiento de memoria (DoS) puede causar la caΓ­da del servicio, lo que puede resultar en pΓ©rdidas de productividad, daΓ±os a la reputaciΓ³n y costos econΓ³micos. AdemΓ‘s, la vulnerabilidad puede ser explotada por atacantes malintencionados para realizar ataques de denegaciΓ³n de servicio (DoS) y afectar la disponibilidad de los servicios.

βš™οΈ CΓ³mo funciona

La vulnerabilidad en el servicio ws de Microsoft se debe a la forma en que maneja los fragmentos y chunks de datos pequeΓ±os. Cuando un atacante envΓ­a un flujo de fragmentos y chunks de datos pequeΓ±os, el servicio ws puede agotar la memoria disponible, lo que puede causar una caΓ­da del servicio. La vulnerabilidad se debe a una falta de validaciΓ³n adecuada de los datos recibidos, lo que permite a los atacantes enviar datos maliciosos que pueden causar la caΓ­da del servicio.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad.
  • IOCs: Los fragmentos y chunks de datos pequeΓ±os pueden ser considerados como IOCs (Indicadores de Actividad Maliciosa) para detectar posibles ataques.
  • Recomendaciones: Las organizaciones deben aplicar el parche disponible y monitorear el servicio ws para detectar posibles ataques.

πŸ”— Fuente consultada: MSRC Microsoft



Vulnerabilidad β€” Phantom Squatting: Hallucinaciones de Dominios Generados por LLM como Vector de la Cadena de Suministro de Software

πŸ” QuΓ© estΓ‘ pasando

  • Atacantes pueden explotar las "hallucinaciones de dominio" generadas por LLM (Modelos de Lenguaje de Larga Memoria) a travΓ©s de "phantom squatting" para atacar cadenas de suministro.
  • Este ataque aprovecha la capacidad de los LLM para generar nombres de dominio falsos que parecen legΓ­timos.
  • No se proporciona un CVE especΓ­fico en la noticia.

⚠️ Por qué importa

El "phantom squatting" puede resultar en la inyecciΓ³n de cΓ³digo malicioso en la cadena de suministro de software, lo que puede tener consecuencias devastadoras para las organizaciones que utilizan software comprometido. Esto puede llevar a la pΓ©rdida de confianza en la cadena de suministro, asΓ­ como a costos financieros significativos para las empresas afectadas.

βš™οΈ CΓ³mo funciona

El ataque comienza cuando un atacante utiliza un LLM para generar un nombre de dominio que parece legΓ­timo, pero en realidad es una "hallucinaciΓ³n" generada por el modelo. El atacante luego puede registrar este nombre de dominio y utilizarlo para crear un sitio web malicioso que parezca pertenecer a una empresa legΓ­tima. Cuando un desarrollador o equipo de TI visita este sitio web, pueden ser vΓ­ctimas de una inyecciΓ³n de cΓ³digo malicioso, lo que puede permitir al atacante acceder a la cadena de suministro de software y comprometer el software utilizado por la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Registros de nombres de dominio sospechosos que parecen generados por LLM.
  • Parches y actualizaciones de seguridad para software que utilicen LLM.
  • RevisiΓ³n de la cadena de suministro de software para detectar inyecciones de cΓ³digo malicioso.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)



Cibercrimen β€” The SOC Files: ScreenConnect disfrazado como freeware. Una mirada dentro de una gran campaΓ±a de cibercrimen.

πŸ” QuΓ© estΓ‘ pasando

  • Los expertos de Kaspersky han descubierto una infraestructura maliciosa de red para entregar AsyncRAT.
  • La red de administraciΓ³n remota (RAT) es instalada mediante software de ScreenConnect comprometido.
  • La campaΓ±a se caracteriza por su gran escala.

⚠️ Por qué importa

La entrega de AsyncRAT a travΓ©s de ScreenConnect comprometido puede resultar en la pΓ©rdida de datos confidenciales, la exfiltraciΓ³n de informaciΓ³n sensible y la instalaciΓ³n de malware adicional en las redes organizacionales. AdemΓ‘s, la gran escala de la campaΓ±a sugiere que el nΓΊmero de objetivos potenciales es considerable, lo que aumenta el riesgo para las organizaciones que utilizan software de ScreenConnect.

βš™οΈ CΓ³mo funciona

La infecciΓ³n se produce cuando el software de ScreenConnect, utilizado para la administraciΓ³n remota de sistemas, se compromete y se utiliza como vector para la entrega del malware AsyncRAT. El C2 (comando y control) se establece mediante una red maliciosa que permite a los atacantes acceder y controlar los sistemas infectados. El anΓ‘lisis de Kaspersky revela que la red de C2 se utiliza para transmitir comandos y recibir datos de los sistemas infectados, permitiendo a los atacantes realizar acciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • Parche de ScreenConnect: Los usuarios deben asegurarse de que su software de ScreenConnect estΓ© actualizado con el ΓΊltimo parche disponible.
  • IOCs (Indicadores de Actividad Maliciosa): Los expertos de Kaspersky han proporcionado indicadores de actividad maliciosa que pueden ayudar a identificar y detectar la presencia de AsyncRAT en la red.
  • RevisiΓ³n de bibliotecas y dependencias: Las organizaciones deben revisar sus bibliotecas y dependencias para detectar y eliminar cualquier software comprometido, como ScreenConnect, que pueda estar siendo utilizado para entregar malware.

πŸ”— Fuente consultada: Kaspersky Securelist



Vulnerabilidad β€” OpenClaw: riesgos para usuarios de agentes y cΓ³mo mitigarlos

πŸ” QuΓ© estΓ‘ pasando

β€’ Se han identificado vulnerabilidades en el popular agente OpenClaw que podrΓ­an ser utilizadas por atacantes para comprometer sistemas.
β€’ Los investigadores estΓ‘n analizando las habilidades maliciosas asociadas con OpenClaw y otros problemas de seguridad.
β€’ No se proporciona un CVE ID especΓ­fico, pero se menciona la importancia de investigar y mitigar vulnerabilidades.

⚠️ Por qué importa

Las vulnerabilidades en OpenClaw pueden permitir a los atacantes acceder a sistemas y datos confidenciales, lo que puede tener graves consecuencias para las organizaciones y usuarios afectados. Es fundamental que los usuarios de OpenClaw tomen medidas para mitigar estos riesgos y proteger su seguridad.

βš™οΈ CΓ³mo funciona

Los investigadores de Kaspersky Securelist estΓ‘n analizando las capacidades maliciosas asociadas con OpenClaw, que pueden incluir la capacidad de realizar acciones de sistema, leer y escribir archivos, y acceder a redes. Las vulnerabilidades pueden ser explotadas mediante tΓ©cnicas de ingenierΓ­a social, phishing o otros mΓ©todos de engaΓ±o.

πŸ‘οΈ QuΓ© vigilar

β€’ Parches y actualizaciones: Los usuarios de OpenClaw deben asegurarse de estar ejecutando la versiΓ³n mΓ‘s reciente del agente y aplicar cualquier parche o actualizaciΓ³n disponible.
β€’ Habilitar detecciΓ³n de malware: Los usuarios deben habilitar la detecciΓ³n de malware en su sistema para detectar y bloquear cualquier actividad maliciosa asociada con OpenClaw.
β€’ Monitorear actividades sospechosas: Los usuarios deben monitorear sus sistemas y redes para detectar cualquier actividad sospechosa que pueda estar relacionada con OpenClaw.

πŸ”— Fuente consultada: Kaspersky Securelist

Top comments (0)