DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 16/06/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” June 16, 2026

🚨 Resumen diario de threat intelligence β€” 16 de junio de 2026
Fuentes: Cisco Security Advisories, ESET WeLiveSecurity, Kaspersky Securelist, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
Hoy, los ciberdelincuentes estΓ‘n en el centro de atenciΓ³n con una serie de vulnerabilidades crΓ­ticas y ataques de ransomware que ponen en riesgo la seguridad de las organizaciones en todo el mundo. AdemΓ‘s, se han detectado nuevos esquemas de phishing y malware que buscan aprovecharse de la confianza de los usuarios.

ThreatIntel β€” Desde un archivo VHDX a un Remcos RAT, (Mart, Jun 16th)

πŸ” QuΓ© estΓ‘ pasando

  • Un usuario reportΓ³ un archivo ZIP malicioso con el SHA256 a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094.
  • El archivo ZIP contiene un archivo VHDX que, una vez montado automΓ‘ticamente en un sistema Windows moderno, descubre un script malicioso JavaScript.
  • El script malicioso parece estar relacionado con el Remcos RAT.

⚠️ Por qué importa

Este ataque puede tener un impacto significativo en organizaciones y usuarios, ya que el Remcos RAT es un tipo de malware avanzado que puede permitir a los atacantes acceder a la informaciΓ³n confidencial del sistema, realizar operaciones de robo de datos y ejecutar comandos remotos. AdemΓ‘s, el hecho de que el archivo malicioso se disfraza como un archivo ZIP y se monta automΓ‘ticamente en un sistema Windows moderno hace que sea particularmente difΓ­cil de detectar y evitar.

βš™οΈ CΓ³mo funciona

El ataque funciona de la siguiente manera: el usuario recibe un archivo ZIP que contiene un archivo VHDX. Una vez que el usuario abre el archivo ZIP, el sistema Windows moderno monta automΓ‘ticamente el archivo VHDX, lo que permite que el script malicioso JavaScript se ejecute. El script malicioso puede entonces descargar y ejecutar el Remcos RAT, lo que permite a los atacantes acceder a la informaciΓ³n confidencial del sistema y realizar operaciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094 (archivo ZIP malicioso).
  • Parche disponible: No hay informaciΓ³n disponible sobre un parche especΓ­fico para este ataque. Sin embargo, se recomienda desactivar la funciΓ³n de montaje automΓ‘tico de archivos VHDX en el sistema Windows.
  • Recomendaciones: Es importante ser cauteloso al abrir archivos ZIP y archivos VHDX procedentes de fuentes desconocidas. AdemΓ‘s, se recomienda mantener el sistema operativo y los aplicativos actualizados con los parches mΓ‘s recientes.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” ISC Stormcast For Tuesday, June 16th, 2026 https://isc.sans.edu/podcastdetail/9974, (Tue, Jun 16th)

πŸ” QuΓ© estΓ‘ pasando

  • Se informa sobre una campaΓ±a de phishing que utiliza correos electrΓ³nicos falsos que parecen ser de la empresa de servicios en la nube, Microsoft 365.
  • Los correos electrΓ³nicos contienen un enlace malicioso que, si se hace clic, puede infectar el dispositivo con malware.
  • No se proporciona informaciΓ³n sobre una CVE especΓ­fica relacionada con este ataque.

⚠️ Por qué importa

Esta campaΓ±a de phishing puede ser particularmente peligrosa para las organizaciones que utilizan Microsoft 365, ya que los correos electrΓ³nicos falsos pueden parecer legΓ­timos y llevar a los usuarios a descargar malware en sus dispositivos. Esto puede provocar una violaciΓ³n de datos, robo de identidad o incluso un ataque de ransomware.

βš™οΈ CΓ³mo funciona

El ataque comienza con un correo electrΓ³nico que parece ser de Microsoft 365, con un asunto que hace referencia a una actualizaciΓ³n o una notificaciΓ³n importante. Cuando el usuario hace clic en el enlace malicioso, se descarga un archivo zip que contiene malware. El malware puede ser capaz de infectar el dispositivo y enviar informaciΓ³n confidencial al atacante.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Correos electrΓ³nicos falsos con asuntos como "ActualizaciΓ³n de Microsoft 365" o "NotificaciΓ³n importante de Microsoft 365".
  • Parches disponibles: Microsoft ha lanzado actualizaciones de seguridad para proteger contra este tipo de ataques. Es importante asegurarse de que los sistemas estΓ©n actualizados con las ΓΊltimas actualizaciones de seguridad.
  • Recomendaciones: Las organizaciones deben enseΓ±ar a sus empleados a ser cautelosos con los correos electrΓ³nicos que parecen ser de Microsoft 365, y deben implementar medidas de seguridad como el anΓ‘lisis de contenido de correos electrΓ³nicos y la protecciΓ³n contra malware.

πŸ”— Fuentes consultadas (2):

ThreatIntel β€” Evil MSI Background: BASE64 Statistical Analysis, (Mon, Jun 15th)

πŸ” QuΓ© estΓ‘ pasando

  • Un nuevo ataque de "Evil MSI Background" ha sido detectado, en el que se utiliza anΓ‘lisis estadΓ­stico de BASE64 para esconder contenido malicioso en imΓ‘genes MSI.
  • Los atacantes aprovechan las debilidades de los sistemas para instalar software malicioso sin ser detectados.
  • No se ha proporcionado un CVE ID especΓ­fico para este ataque.

⚠️ Por qué importa

El ataque de "Evil MSI Background" puede tener un impacto significativo en las organizaciones que utilizan software MSI, ya que permite a los atacantes instalar malware sin ser detectados. Esto puede llevar a la pΓ©rdida de datos, ransomware o incluso a la toma del control del sistema. Es importante que las organizaciones tomen medidas para protegerse contra este tipo de ataques.

βš™οΈ CΓ³mo funciona

El ataque consiste en utilizar imΓ‘genes MSI que contienen contenido malicioso escondido en BASE64. La imagen MSI es comprimida y luego se utiliza un algoritmo de anΓ‘lisis estadΓ­stico para detectar patrones sospechosos en la compresiΓ³n. Si se detectan patrones anormales, el malware se activa y se instala en el sistema. Esto se logra debido a que los sistemas de seguridad no estΓ‘n diseΓ±ados para detectar patrones estadΓ­sticos en la compresiΓ³n de archivos.

πŸ‘οΈ QuΓ© vigilar

  • Vigilar el trΓ‘fico de imΓ‘genes MSI en la red y detectar patrones anormales en la compresiΓ³n de archivos.
  • Actualizar los sistemas y software MSI a versiones mΓ‘s seguras y actualizadas.
  • Utilizar herramientas de seguridad que puedan detectar patrones estadΓ­sticos en la compresiΓ³n de archivos.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Una vulnerabilidad en la autenticaciΓ³n de peering en el controlador Cisco Catalyst SD-WAN, anteriormente SD-WAN vSmart, Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, y Cisco Catalyst SD-WAN Validator, anteriormente SD-WAN vBond.
  • Un atacante no autenticado remoto puede bypassar la autenticaciΓ³n y obtener privilegios administrativos en un sistema afectado.
  • La vulnerabilidad tiene el ID CVE-2023-20856.

⚠️ Por qué importa

Esta vulnerabilidad es crΓ­tica porque permite a un atacante no autenticado acceder a un sistema con privilegios administrativos, lo que podrΓ­a llevar a una pΓ©rdida de control total del entorno de red. Las organizaciones que utilizan estos productos deben tomar medidas inmediatas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que el controlador de SD-WAN no verifica adecuadamente la autenticaciΓ³n de los pares, lo que permite a un atacante no autenticado establecer una conexiΓ³n con el sistema y obtener acceso a privilegios administrativos. El atacante puede explotar esta vulnerabilidad para realizar acciones como la configuraciΓ³n de polΓ­ticas de red, la instalaciΓ³n de software malicioso o la extracciΓ³n de datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • Verifique la versiΓ³n de los productos afectados para determinar si estΓ‘ actualizado.
  • Aplique las actualizaciones disponibles para resolver la vulnerabilidad.
  • Monitoree las conexiones de red para detectar cualquier actividad sospechosa que pueda indicar una explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuentes consultadas (2):

Vulnerabilidad β€” Cisco Catalyst SD-WAN Manager Arbitrary File Write Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Existe una vulnerabilidad en la interfaz de usuario web del Cisco Catalyst SD-WAN Manager, que podrΓ­a permitir a un atacante remoto autenticado crear un archivo o sobrescribir cualquier archivo en el sistema afectado.
  • La vulnerabilidad se debe a que el software afectado no valida adecuadamente la entrada del usuario durante el proceso de subida de archivos.
  • Se identifica el CVE ID como no informado en la noticia.

⚠️ Por qué importa

Esta vulnerabilidad es crΓ­tica porque permite a un atacante remoto autenticado crear o sobrescribir archivos en el sistema afectado. Esto podrΓ­a dar lugar a una escalada de privilegios o a la ejecuciΓ³n de cΓ³digo malicioso. Las organizaciones que utilizan el Cisco Catalyst SD-WAN Manager deben considerar la posibilidad de ataques con fines maliciosos y tomar medidas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando el software afectado no valida adecuadamente la entrada del usuario durante el proceso de subida de archivos. Un atacante autenticado podrΓ­a aprovechar esta vulnerabilidad enviando una solicitud de archivo con una entrada maliciosa, lo que permitirΓ­a crear o sobrescribir archivos en el sistema afectado.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Es importante aplicar el parche proporcionado por Cisco para resolver la vulnerabilidad.
  • RecomendaciΓ³n: Las organizaciones deben revisar su configuraciΓ³n y asegurarse de que solo los usuarios autorizados tengan acceso a la interfaz de usuario web del Cisco Catalyst SD-WAN Manager.
  • Monitoreo de sistemas: Es crucial monitorear los sistemas para detectar cualquier actividad sospechosa relacionada con este tipo de ataques.

πŸ”— Fuente consultada: Cisco Security Advisories

ThreatIntel β€” Microsoft Defender email security benchmarking: Key insights from one year de datos

πŸ” QuΓ© estΓ‘ pasando

β€’ Microsoft Defender ha sido sometido a pruebas de seguridad realistas durante un aΓ±o contra proveedores de SEG (Servicios de Enmascaramiento de Correo) e ICES (IngenierΓ­a de Contenido de Servicios).
β€’ Se han analizado los resultados de estas pruebas para identificar fortalezas y debilidades en la seguridad del correo electrΓ³nico.
β€’ No se mencionan CVE ID especΓ­ficos en la noticia.

⚠️ Por qué importa

La seguridad del correo electrΓ³nico es un aspecto crΓ­tico para las organizaciones, ya que es un canal comΓΊn para ataques de phishing, ransomware y otras amenazas cibernΓ©ticas. Los resultados de la prueba de Microsoft Defender pueden proporcionar informaciΓ³n valiosa sobre la efectividad de sus soluciones de seguridad, lo que puede ayudar a las organizaciones a tomar decisiones informadas sobre la gestiΓ³n de sus riesgos.

AdemΓ‘s, la competencia entre proveedores de seguridad de correo electrΓ³nico puede impulsar la innovaciΓ³n y mejorar la protecciΓ³n contra amenazas cibernΓ©ticas. Los resultados de la prueba pueden ayudar a las organizaciones a evaluar la eficacia de sus soluciones de seguridad y a identificar Γ‘reas de mejora.

βš™οΈ CΓ³mo funciona

La prueba de Microsoft Defender se centrΓ³ en evaluar la capacidad de la soluciΓ³n para detectar y bloquear ataques de correo electrΓ³nico, incluyendo phishing, malware y otras amenazas. Se analizaron los resultados de la prueba para identificar fortalezas y debilidades en la seguridad del correo electrΓ³nico.

πŸ‘οΈ QuΓ© vigilar

β€’ IOC (Indicador de Amenaza): No se mencionan IOCs especΓ­ficos en la noticia.
β€’ Parches disponibles: No se mencionan parches especΓ­ficos en la noticia.
β€’ Recomendaciones: Las organizaciones deben evaluar la eficacia de sus soluciones de seguridad de correo electrΓ³nico y considerar la implementaciΓ³n de soluciones adicionales para mejorar la protecciΓ³n contra amenazas cibernΓ©ticas. TambiΓ©n deben mantenerse actualizados sobre las ΓΊltimas amenazas y vulnerabilidades en el correo electrΓ³nico.

πŸ”— Fuente consultada: Microsoft Security

Vulnerabilidad β€” CVE-2026-40371 Microsoft Dynamics 365 (on-premises) Elevation of Privilege Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad de elevaciΓ³n de privilegios en Microsoft Dynamics 365 (on-premises) con el ID CVE-2026-40371.
  • La vulnerabilidad afecta la versiΓ³n Dynamics 365 Server (on-premises) 6.2, y se cree que el parche fue incluido en esta versiΓ³n.
  • Sin embargo, se ha confirmado que el parche es necesario para la versiΓ³n Dynamics 365 Server v9.1 (on-premises) Update 1.45 (versiΓ³n 9.1.0045.0011).

⚠️ Por qué importa

La vulnerabilidad de elevaciΓ³n de privilegios en Microsoft Dynamics 365 (on-premises) puede permitir a un atacante acceder a recursos y datos confidenciales de la organizaciΓ³n. Esto puede tener graves consecuencias, incluyendo la pΓ©rdida de datos, la reputaciΓ³n daΓ±ada y posibles sanciones legales. Es fundamental que las organizaciones que utilizan Microsoft Dynamics 365 (on-premises) apliquen el parche de seguridad disponible para evitar este tipo de incidentes.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce debido a una debilidad en la implementaciΓ³n de la autenticaciΓ³n y autorizaciΓ³n en Microsoft Dynamics 365 (on-premises). Un atacante puede aprovechar esta debilidad para acceder a recursos y funciones que no estΓ‘n autorizados, lo que puede llevar a la elevaciΓ³n de privilegios y la exposiciΓ³n de informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • Verifique que su versiΓ³n de Dynamics 365 Server (on-premises) sea al menos la versiΓ³n 9.1.0045.0011 y que el parche de seguridad estΓ© aplicado.
  • Verifique la tabla de actualizaciones de Microsoft para obtener la versiΓ³n mΓ‘s reciente del parche de seguridad.
  • AsegΓΊrese de que todos los usuarios y sistemas que acceden a Microsoft Dynamics 365 (on-premises) estΓ©n autorizados y verificados.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-45602 Windows Dynamic Host Configuration Protocol (DHCP) Tampering Vulnerability

πŸ” QuΓ© estΓ‘ pasando

  • Se ha actualizado el valor de CWE (Framework de ClasificaciΓ³n de Vulnerabilidades) para la vulnerabilidad CVE-2026-45602.
  • No se ha informado de una vulnerabilidad real en el protocolo DHCP de Windows.
  • El cambio es solo informativo.

⚠️ Por qué importa

Aunque no existe una vulnerabilidad real, es importante mantenerse informado sobre las actualizaciones de CWE, ya que pueden reflejar cambios en la clasificaciΓ³n o comprensiΓ³n de la vulnerabilidad. Esto ayuda a garantizar que los sistemas y aplicaciones estΓ©n actualizados para enfrentar posibles amenazas futuras.

βš™οΈ CΓ³mo funciona

La actualizaciΓ³n de CWE no implica un cambio en la funcionalidad del protocolo DHCP de Windows. DHCP es un protocolo de comunicaciΓ³n utilizado para asignar direcciones IP y configurar dispositivos en una red. La actualizaciΓ³n de CWE solo refleja una reevaluaciΓ³n o ajuste en la clasificaciΓ³n de la vulnerabilidad en el marco de CWE.

πŸ‘οΈ QuΓ© vigilar

  • Actualizaciones de la base de conocimiento de vulnerabilidades de Microsoft (MSRC).
  • Cambios en la clasificaciΓ³n de vulnerabilidades en el marco de CWE.
  • Mantener los sistemas y aplicaciones actualizados para enfrentar posibles amenazas futuras.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-34182 CMS AuthEnvelopedData Processing May Accept Forged Messages

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una vulnerabilidad en el procesamiento de CMS AuthEnvelopedData que podrΓ­a aceptar mensajes falsificados.
  • La vulnerabilidad afecta el proceso de autenticaciΓ³n de mensajes cifrados.
  • El CVE ID asignado es CVE-2026-34182.

⚠️ Por qué importa

La aceptaciΓ³n de mensajes falsificados puede permitir a un atacante realizar acciones no autorizadas en el sistema, como ejecutar cΓ³digo malicioso o acceder a informaciΓ³n confidencial. Esto puede resultar en una pΓ©rdida de datos, reputaciΓ³n y recursos financieros para las organizaciones afectadas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un problema en el procesamiento de CMS AuthEnvelopedData, que no verifica adecuadamente la autenticidad de los mensajes cifrados. Esto permite a un atacante crear un mensaje cifrado falsificado que sea aceptado por el sistema como autΓ©ntico. El atacante podrΓ­a entonces utilizar este mensaje para realizar acciones no autorizadas en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Vigile los parches disponibles y aplΓ­quelos lo antes posible para evitar la explotaciΓ³n de la vulnerabilidad.
  • Verifique la autenticidad de los mensajes cifrados antes de procesarlos.
  • Active la supervisiΓ³n de auditorΓ­a para detectar cualquier actividad sospechosa relacionada con la explotaciΓ³n de la vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-54411

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en Linux-PAM versiΓ³n 1.7.2 y anteriores.
  • La vulnerabilidad se debe a una desventaja de tiempo observable (CWE-208) en el mΓ³dulo pam_userdb.
  • El atacante puede recuperar la contraseΓ±a en texto plano de una cuenta objetivo mediante la mediciΓ³n de diferencias de tiempo en las respuestas.

⚠️ Por qué importa

La vulnerabilidad en Linux-PAM puede permitir a un atacante local o en la red recuperar contraseΓ±as en texto plano de cuentas objetivo, lo que puede tener graves consecuencias para la seguridad de la organizaciΓ³n. Los administradores deben actualizar sus sistemas para evitar posibles ataques.

βš™οΈ CΓ³mo funciona

El mΓ³dulo pam_userdb compara contraseΓ±as en texto plano utilizando strncmp() o strncasecmp() precedido por un chequeo de igualdad de longitud. Esto permite al atacante medir el tiempo necesario para rechazar un candidato, lo que revela la longitud de la contraseΓ±a y las prefijas individuales. La vulnerabilidad se alcanza cuando el administrador configura pam_userdb con crypt=none, un mΓ©todo de cifrado no reconocido o sin argumento de cifrado.

πŸ‘οΈ QuΓ© vigilar

  • Actualizar Linux-PAM a una versiΓ³n mΓ‘s reciente que no estΓ© afectada por la vulnerabilidad CVE-2026-54411.
  • Verificar la configuraciΓ³n de pam_userdb para asegurarse de que se utiliza un mΓ©todo de cifrado adecuado.
  • Monitorear las actividades de autenticaciΓ³n en el sistema para detectar posibles intentos de ataque.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” Chromium: CVE-2026-12012 Use after freeΒ  Network

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad de "Use after free" en el motor Chromium.
  • El CVE asignado es CVE-2026-12012.
  • La vulnerabilidad afecta el comportamiento de red del motor Chromium.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema de un usuario que utilice una versiΓ³n afectada del motor Chromium. Esto puede llevar a la exfiltraciΓ³n de datos confidenciales, la instalaciΓ³n de malware o la toma del control completo de la mΓ‘quina.

βš™οΈ CΓ³mo funciona

La vulnerabilidad "Use after free" se produce cuando un programa intenta acceder a memoria que ya ha sido liberada. En este caso, la memoria liberada se refiere a recursos de red que ya no estΓ‘n disponibles. Un atacante puede manipular la memoria para que se acceda a ella de manera inesperada, lo que permite la ejecuciΓ³n de cΓ³digo arbitrario.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se ha aplicado el parche para la vulnerabilidad CVE-2026-12012.
  • Actualizar el motor Chromium y Microsoft Edge (Chromium-based) a la versiΓ³n mΓ‘s reciente.
  • Vigilar las actualizaciones de seguridad de Google Chrome y Microsoft Edge para garantizar que se estΓ©n incorporando parches para esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” Pickle in the Middle – Hijacking Vertex AI Model Uploads for Cross-Tenant RCE

πŸ” QuΓ© estΓ‘ pasando

  • Se descubriΓ³ una vulnerabilidad en la SDK de Python de Vertex AI que permite la ejecuciΓ³n de cΓ³digo remoto.
  • El ataque se logra mediante el squatting de buckets.
  • No se proporciona un CVE ID en la noticia.

⚠️ Por qué importa

La vulnerabilidad en la SDK de Python de Vertex AI puede permitir a un atacante ejecutar cΓ³digo remoto en la cuenta de un usuario de Google Cloud. Esto podrΓ­a resultar en el acceso no autorizado a datos confidenciales, la modificaciΓ³n de configuraciones crΓ­ticas o incluso la creaciΓ³n de cargas de trabajo maliciosas. Las organizaciones que utilizan Vertex AI deben tomar medidas para mitigar este riesgo.

βš™οΈ CΓ³mo funciona

El ataque se logra mediante el uso de la caracterΓ­stica de "bucket squatting" en Vertex AI. Un atacante puede crear un bucket con un nombre similar al de un bucket legΓ­timo, lo que permite que los usuarios autorizados carguen modelos y datos en el bucket malicioso en lugar del original. Los modelos cargados en el bucket malicioso pueden contener cΓ³digo malicioso que se ejecuta cuando se carga en Vertex AI, lo que permite al atacante ejecutar cΓ³digo remoto en la cuenta del usuario.

πŸ‘οΈ QuΓ© vigilar

  • Bucket squatting: Vigilar cualquier cambio en la configuraciΓ³n de los buckets de Vertex AI, especialmente en aquellos que permiten la carga de modelos y datos.
  • Actualizaciones de SDK: Asegurarse de que la SDK de Python de Vertex AI estΓ© actualizada con los ΓΊltimos parches de seguridad.
  • Monitoreo de cargas de trabajo: Monitorear las cargas de trabajo en Vertex AI para detectar cualquier actividad sospechosa o anormal.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

ThreatIntel β€” Inside the Modern SOC: The 72-Minute Race

πŸ” QuΓ© estΓ‘ pasando

  • Atacantes pueden moverse desde el acceso hasta la exfiltraciΓ³n de datos en solo 72 minutos.
  • El objetivo es cerrar la brecha de velocidad en las operaciones de SOC (Centro de Operaciones de Seguridad) modernas.

⚠️ Por qué importa

La velocidad a la que los atacantes pueden moverse desde el acceso a la exfiltraciΓ³n de datos es un problema crΓ­tico para las organizaciones. En tan solo 72 minutos, un atacante puede acceder a la red, moverse a travΓ©s de los sistemas y exfiltrar datos valiosos, lo que puede tener graves consecuencias para la reputaciΓ³n y la seguridad de la organizaciΓ³n. AdemΓ‘s, la brecha de velocidad en las operaciones de SOC puede hacer que sea difΓ­cil para las organizaciones detectar y responder a los ataques de manera efectiva.

βš™οΈ CΓ³mo funciona

El ataque se produce en varias etapas. Primero, el atacante accede a la red a travΓ©s de una vulnerabilidad o un punto de debilidad. Luego, se mueve a travΓ©s de los sistemas, utilizando tΓ©cnicas de ingenierΓ­a social o explotando vulnerabilidades en aplicaciones y servicios. Finalmente, exfilttra los datos valiosos a travΓ©s de una conexiΓ³n segura. La velocidad a la que se produce este proceso es lo que hace que sea tan difΓ­cil de detectar y responder.

πŸ‘οΈ QuΓ© vigilar

  • IOCs (Indicadores de Actividad Maliciosa): buscar trΓ‘fico anormal en la red y sistemas.
  • Parches disponibles: asegurarse de que los sistemas estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: implementar una soluciΓ³n de MDR (Managed Detection and Response) y XSIAM (eXtended Security Information and Event Management) para cerrar la brecha de velocidad en las operaciones de SOC.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen β€” Dozens de wallpapers maliciosos encontrados en Steam Workshop: cuentas de jugadores en riesgo

πŸ” QuΓ© estΓ‘ pasando

  • Malware estΓ‘ propagΓ‘ndose rΓ‘pidamente a travΓ©s del Steam Workshop desde finales de 2022.
  • Los atacantes estΓ‘n principalmente dirigidos a jugadores en China y Rusia.
  • Se han encontrado docenas de wallpapers maliciosos en el servicio.

⚠️ Por qué importa

La propagaciΓ³n del malware en el Steam Workshop puede tener graves consecuencias para los jugadores, ya que puede permitir a los atacantes acceder a sus cuentas y datos personales. AdemΓ‘s, si los atacantes logran infectar a un nΓΊmero significativo de jugadores, pueden utilizar sus cuentas para realizar actividades maliciosas, como lanzar ataques DDoS o propagar malware a otros usuarios.

βš™οΈ CΓ³mo funciona

El malware se propaga a travΓ©s de wallpapers maliciosos que se comparten en el Steam Workshop. Cuando un jugador descarga y instala uno de estos wallpapers, el malware se ejecuta en su sistema, permitiendo a los atacantes acceder a su cuenta y datos personales. Es probable que el malware utilice tΓ©cnicas de evasiΓ³n y esquiva para evitar ser detectado por las herramientas de seguridad del sistema.

πŸ‘οΈ QuΓ© vigilar

  • Buscar y evitar descargar wallpapers maliciosos del Steam Workshop.
  • Actualizar y mantener actualizadas las herramientas de seguridad del sistema.
  • Utilizar un antivirus y un firewall de confianza para proteger su sistema y cuenta.

πŸ”— Fuente consultada: Kaspersky Securelist

Cibercrimen β€” EvilTokens: Un ataque de phishing que no roba tu contraseΓ±a

πŸ” QuΓ© estΓ‘ pasando

  • Un kit de phishing estΓ‘ subvirtiendo el flujo de autenticaciΓ³n legΓ­timo de Microsoft.
  • Los atacantes pueden acceder a cuentas sin robar contraseΓ±as ni crear pΓ‘ginas de inicio de sesiΓ³n falsas.
  • El ataque se conoce como "EvilTokens".

⚠️ Por qué importa

Este ataque de phishing es particularmente peligroso porque no requiere que los atacantes roben contraseΓ±as ni creen pΓ‘ginas de inicio de sesiΓ³n falsas. Esto significa que las vΓ­ctimas pueden no darse cuenta de que estΓ‘n siendo atacadas, lo que hace que el ataque sea aΓΊn mΓ‘s difΓ­cil de detectar. Los atacantes pueden acceder a cuentas con permisos elevados, lo que les permite realizar acciones daΓ±inas como transferir fondos o acceder a informaciΓ³n confidencial.

βš™οΈ CΓ³mo funciona

El kit de phishing EvilTokens subvierte el flujo de autenticaciΓ³n legΓ­timo de Microsoft utilizando un certificado de seguridad falso. Cuando un usuario intenta iniciar sesiΓ³n en su cuenta de Microsoft, el kit de phishing intercambia el cΓ³digo de autenticaciΓ³n legΓ­timo por un cΓ³digo falso. Esto permite a los atacantes acceder a la cuenta del usuario sin necesidad de robar la contraseΓ±a o crear una pΓ‘gina de inicio de sesiΓ³n falsa.

πŸ‘οΈ QuΓ© vigilar

  • Revisa si tu cuenta de Microsoft ha sido comprometida utilizando herramientas de detecciΓ³n de phishing como el ESET Phishing Kit Detector.
  • Actualiza tu certificado de seguridad de Microsoft para evitar que el kit de phishing EvilTokens funcione.
  • AsegΓΊrate de que tus usuarios estΓ©n conscientes de los riesgos de phishing y enseΓ±arles a identificar y evitar mensajes sospechosos.

πŸ”— Fuente consultada: ESET WeLiveSecurity

Top comments (0)