DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 18/03/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” March 18, 2026

🚨 Alertas cibernéticas diarias: amenazas en la nube y vulnerabilidades
Fuentes: AWS Security, Bitdefender Labs, Cisco Security Advisories, Kaspersky Securelist, MSRC Microsoft, SANS ISC, SentinelOne Labs, Talos Intelligence, Unit 42 (Palo Alto)
El dΓ­a de hoy, nos encontramos frente a una mezcla de amenazas cibernΓ©ticas que buscan aprovechar las vulnerabilidades en la nube y explotar debilidades en sistemas de seguridad. Las tΓ‘cticas de los ciberdelincuentes incluyen ataques de ransomware, malware y phishing, para robar informaciΓ³n confidencial y extorsionar a las vΓ­ctimas. En este resumen diario, exploraremos las ΓΊltimas notificaciones de seguridad y advertencias de threat intelligence.

Vulnerabilidad β€” Scans para "adminer", (Wed, Mar 18th)

πŸ” QuΓ© estΓ‘ pasando

  • Atacantes estΓ‘n realizando escaneos en trampas de honeypots con el objetivo de encontrar instancias de "adminer".
  • "Adminer" es una herramienta de administraciΓ³n de bases de datos similar a phpMyAdmin, pero con una rica historia de vulnerabilidades.
  • El objetivo de los atacantes parece ser explotar vulnerabilidades en "adminer" para acceder a sistemas sensibles.

⚠️ Por qué importa

Las vulnerabilidades en "adminer" pueden permitir a los atacantes acceder a bases de datos sensibles, lo que puede tener graves consecuencias para las organizaciones afectadas. AdemΓ‘s, la presencia de escaneos en trampas de honeypots indica que los atacantes estΓ‘n buscando sistemΓ‘ticamente vulnerabilidades en esta herramienta, lo que aumenta el riesgo de una posible explotaciΓ³n en el futuro.

βš™οΈ CΓ³mo funciona

"Adminer" es una herramienta web que permite la administraciΓ³n de bases de datos MySQL, PostgreSQL y otros sistemas de gestiΓ³n de bases de datos. Sin embargo, debido a su rica historia de vulnerabilidades, es posible que haya errores de seguridad crΓ­ticos en versiones antiguas o no actualizadas de la herramienta. Los atacantes pueden explotar estas vulnerabilidades para acceder a bases de datos sensibles y comprometer la seguridad de la organizaciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Escaneos en trampas de honeypots con el objetivo de encontrar instancias de "adminer".
  • Parches disponibles: AsegΓΊrese de que todas las instancias de "adminer" estΓ‘n actualizadas con las ΓΊltimas versiones y parches de seguridad.
  • Recomendaciones: Verifique la configuraciΓ³n de seguridad de todas las instancias de "adminer" y asegΓΊrese de que estΓ©n protegidas con contraseΓ±as fuertes y autenticaciΓ³n segura.

πŸ”— Fuente consultada: SANS ISC

ThreatIntel β€” ISC Stormcast For Wednesday, March 18th, 2026 https://isc.sans.edu/podcastdetail/9854, (Wed, Mar 18th)

πŸ” QuΓ© estΓ‘ pasando

  • El podcast del ISC Stormcast de hoy informa sobre una serie de ataques de phishing dirigidos a organizaciones de salud y educaciΓ³n en Estados Unidos.
  • Los atacantes estΓ‘n utilizando un dominio de phishing que imita a una empresa de software de salud, con el objetivo de obtener credenciales de acceso a sistemas de salud.
  • El dominio de phishing utilizado es "softwarehealthcare[.]info" y se ha observado que estΓ‘ siendo utilizado desde al menos el 10 de marzo de 2026.

⚠️ Por qué importa

Las organizaciones de salud y educaciΓ³n deben estar especialmente alertas a estos ataques de phishing, ya que pueden comprometer la seguridad de la informaciΓ³n de los pacientes y estudiantes. Si se accede a sistemas de salud o educaciΓ³n con credenciales obtenidas de manera fraudulenta, los atacantes pueden obtener acceso a informaciΓ³n confidencial y comprometer la seguridad de la organizaciΓ³n.

AdemΓ‘s, la utilizaciΓ³n de un dominio de phishing que imita a una empresa de software de salud puede llevar a los usuarios a descuidar sus habilidades de vigilancia y prevenciΓ³n de ataques, lo que puede hacer que sean mΓ‘s vulnerables a este tipo de ataques.

βš™οΈ CΓ³mo funciona

El ataque de phishing funciona de la siguiente manera: los atacantes envΓ­an correos electrΓ³nicos a los usuarios con el objetivo de que accedan al dominio de phishing y proporcionen sus credenciales de acceso. Una vez que el usuario ingresa sus credenciales, los atacantes pueden acceder a los sistemas de salud o educaciΓ³n y obtener acceso a informaciΓ³n confidencial.

El dominio de phishing utilizado es un dominio de tipo "lookalike" que imita a una empresa de software de salud legΓ­tima. Esto puede llevar a los usuarios a creer que el dominio es confiable y que es seguro proporcionar sus credenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: El dominio de phishing utilizado es "softwarehealthcare[.]info".
  • Parches disponibles: No se han reportado parches disponibles para este ataque.
  • Recomendaciones concretas: Las organizaciones de salud y educaciΓ³n deben estar especialmente alertas a este tipo de ataques de phishing y deben tomar medidas para proteger la seguridad de la informaciΓ³n de los pacientes y estudiantes. Esto puede incluir la implementaciΓ³n de tecnologΓ­as de detecciΓ³n de phishing, la capacitaciΓ³n de los usuarios para identificar y evitar los ataques de phishing, y la realizaciΓ³n de simulacros de ataques

πŸ”— Fuentes consultadas (2):

ThreatIntel β€” IPv4 Mapped IPv6 Addresses, (Tue, Mar 17th)

πŸ” QuΓ© estΓ‘ pasando

  • Atacantes estΓ‘n utilizando direcciones IPv4 mapeadas a IPv6 para posiblemente ocultar sus ataques.
  • Estas direcciones estΓ‘n definidas en RFC 4038, una de las muchas mecΓ‘nicas de transiciΓ³n utilizadas para mantener la compatibilidad hacia atrΓ‘s mientras se implementa IPv6.
  • Se han detectado escaneos de URLs "/proxy/" que involucran estas direcciones.

⚠️ Por qué importa

El uso de direcciones IPv4 mapeadas a IPv6 puede dificultar la detecciΓ³n de ataques, ya que estas direcciones pueden ser difΓ­ciles de detectar en sistemas de seguridad tradicionales. AdemΓ‘s, la creciente adopciΓ³n de IPv6-only networking code en aplicaciones modernas puede aumentar la superficie de ataque para estos tipos de ataques.

βš™οΈ CΓ³mo funciona

IPv4-mapped IPv6 addresses son direcciones IPv6 que contienen el valor de una direcciΓ³n IPv4 mapeada en los 32 bits menos significativos de la direcciΓ³n IPv6. Esto permite que los sistemas IPv6 interactΓΊen con sistemas IPv4 de manera transparente. Sin embargo, esta caracterΓ­stica tambiΓ©n puede ser utilizada para ocultar la identidad de los atacantes, ya que estas direcciones pueden ser difΓ­ciles de resolver en sistemas de seguridad.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Direcciones IPv4 mapeadas a IPv6 que se han detectado en escaneos de URLs "/proxy/".
  • Parches disponibles: No se han informado parches especΓ­ficos para este tipo de ataques, pero se recomienda actualizar los sistemas a la ΓΊltima versiΓ³n de IPv6.
  • Recomendaciones: Implementar mecanismos de detecciΓ³n y prevenciΓ³n de ataques que puedan utilizar IPv4-mapped IPv6 addresses, y asegurarse de que los sistemas de seguridad estΓ©n configurados para detectar estas direcciones.

πŸ”— Fuente consultada: SANS ISC

Vulnerabilidad β€” Cisco Catalyst SD-WAN Vulnerabilities

πŸ” QuΓ© estΓ‘ pasando

  • Se han encontrado mΓΊltiples vulnerabilidades en el Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage).
  • Estas vulnerabilidades podrΓ­an permitir a un atacante acceder al sistema afectado, elevar privilegios a root, acceder a informaciΓ³n sensible y sobreescribir archivos arbitrarios.
  • Se refiere a la advisory de seguridad de Cisco con mΓ‘s detalles.

⚠️ Por qué importa

Las vulnerabilidades en el Cisco Catalyst SD-WAN Manager podrΓ­an tener un impacto significativo en las organizaciones que utilizan esta tecnologΓ­a. Un atacante con acceso a estas vulnerabilidades podrΓ­a obtener acceso no autorizado a informaciΓ³n confidencial, comprometer la integridad del sistema y potencialmente causar daΓ±os a la reputaciΓ³n de la organizaciΓ³n. AdemΓ‘s, la capacidad de elevar privilegios a root permitirΓ­a a los atacantes realizar acciones maliciosas con total control sobre el sistema.

βš™οΈ CΓ³mo funciona

Las vulnerabilidades en el Cisco Catalyst SD-WAN Manager se deben a fallos de implementaciΓ³n y diseΓ±o en el software. Un atacante podrΓ­a aprovechar estas vulnerabilidades enviando solicitudes especΓ­ficas al sistema, lo que permitirΓ­a acceder a informaciΓ³n sensible y realizar cambios no autorizados en el sistema. La capacidad de sobreescribir archivos arbitrarios permitirΓ­a a los atacantes introducir malware o realizar cambios permanentes en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Verifique la versiΓ³n del software y aplique las actualizaciones disponibles de Cisco.
  • EstΓ© atento a cualquier solicitud inusual o anormal en el sistema.
  • AsegΓΊrese de que los usuarios y sistemas tengan acceso controlado y limitado para minimizar el riesgo de un ataque exitoso.

πŸ”— Fuente consultada: Cisco Security Advisories

Vulnerabilidad β€” CVE-2026-23241 audit: add missing syscalls to read class

πŸ” QuΓ© estΓ‘ pasando

  • Se publicΓ³ una nueva vulnerabilidad CVE-2026-23241.
  • La vulnerabilidad afecta a la clase de syscalls de lectura.
  • La informaciΓ³n disponible indica que se trata de una vulnerabilidad de auditorΓ­a.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23241 puede permitir a atacantes explotar vulnerabilidades en sistemas operativos que no tienen en cuenta syscalls especΓ­ficas de la clase de lectura. Esto podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo arbitrario, lo que puede tener consecuencias graves para la seguridad de las organizaciones y usuarios afectados.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a la falta de consideraciΓ³n de syscalls especΓ­ficas de la clase de lectura en la auditorΓ­a del sistema. Esto permite a un atacante explotar vulnerabilidades en el sistema operativo, lo que puede llevar a la ejecuciΓ³n de cΓ³digo arbitrario.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la disponibilidad de parches para la vulnerabilidad CVE-2026-23241.
  • Revisar la auditorΓ­a del sistema para asegurarse de que se estΓ©n considerando syscalls especΓ­ficas de la clase de lectura.
  • Implementar medidas de seguridad adicionales para proteger contra ataques basados en esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-71239 audit: add fchmodat2() a la clase de atributos

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en la clase de atributos fchmodat2().
  • La vulnerabilidad se identificΓ³ como CVE-2025-71239.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad.

⚠️ Por qué importa

La publicaciΓ³n de informaciΓ³n sobre esta vulnerabilidad puede indicar que es crΓ­tica y que las organizaciones deben estar preparadas para abordarla. Aunque no se proporcionan detalles, es probable que afecte a sistemas operativos Windows y que las organizaciones que utilizan esas plataformas deban tomar medidas para mitigar el riesgo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se relaciona con la clase de atributos fchmodat2(), que se utiliza para cambiar los atributos de un archivo. Sin embargo, no se proporcionan detalles tΓ©cnicos sobre cΓ³mo funciona la vulnerabilidad. Es probable que se trate de una vulnerabilidad de derechos de acceso, donde un atacante podrΓ­a explotarla para modificar atributos de archivos sin permiso.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2025-71239: vigilar este ID de vulnerabilidad en la base de datos de vulnerabilidades de tu organizaciΓ³n.
  • Parches disponibles: Microsoft probablemente publicarΓ‘ parches para esta vulnerabilidad en el futuro. Vigila los anuncios de parches de Microsoft para aplicarlos a tus sistemas operativos Windows.
  • Recomendaciones: Revisa tus polΓ­ticas de acceso y permisos en los sistemas operativos Windows para asegurarte de que estΓ©n configurados de manera segura. Considera realizar un anΓ‘lisis de vulnerabilidades en tus sistemas para identificar y abordar cualquier riesgo potencial.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-4111 Libarchive: infinite loop denial of service in rar5 decompression via archive_read_data() in libarchive

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una vulnerabilidad en la biblioteca Libarchive que afecta la descompresiΓ³n de archivos RAR5.
  • La vulnerabilidad provoca un bucle infinito que puede provocar una denegaciΓ³n de servicio (DoS).
  • El CVE ID asignado es CVE-2026-4111.

⚠️ Por qué importa

La vulnerabilidad en Libarchive puede ser explotada por atacantes para provocar una denegaciΓ³n de servicio (DoS) en sistemas que utilizan la biblioteca para descomprimir archivos RAR5. Esto puede tener un impacto significativo en la disponibilidad de los servicios y aplicaciones que dependen de la biblioteca. AdemΓ‘s, si la vulnerabilidad no se parchea a tiempo, los atacantes pueden aprovecharla para realizar ataques dirigidos contra sistemas especΓ­ficos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce en la funciΓ³n archive_read_data() de la biblioteca Libarchive, que se utiliza para descomprimir archivos RAR5. Cuando un atacante proporciona un archivo RAR5 malformado, la funciΓ³n archive_read_data() entra en un bucle infinito que consume recursos del sistema y provoca una denegaciΓ³n de servicio. La vulnerabilidad se puede explotar mediante un archivo RAR5 malformado que contenga un patrΓ³n especΓ­fico de datos que causa el bucle infinito.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Verifique si hay un parche disponible para la biblioteca Libarchive en su sistema.
  • Verifique la versiΓ³n de Libarchive: AsegΓΊrese de que la versiΓ³n de Libarchive en su sistema es la mΓ‘s reciente y parcheada.
  • RevisiΓ³n de cΓ³digo: Revisar el cΓ³digo que utiliza la biblioteca Libarchive para asegurarse de que no estΓ© utilizando versiones anteriores de la biblioteca que sean vulnerables a esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-23066 rxrpc: Fix recvmsg() unconditional requeue

πŸ” QuΓ© estΓ‘ pasando

  • Se ha anunciado la vulnerabilidad CVE-2026-23066 en el componente rxrpc.
  • Se trata de una vulnerabilidad relacionada con la funciΓ³n recvmsg().
  • No hay detalles adicionales disponibles en la publicaciΓ³n.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-23066 puede permitir a un atacante aprovechar la funcionalidad de reenvΓ­o de mensajes en el componente rxrpc. Esto podrΓ­a llevar a la ejecuciΓ³n de cΓ³digo no autorizado, lo que podrΓ­a tener graves consecuencias para la seguridad de la organizaciΓ³n. Es importante abordar esta vulnerabilidad lo antes posible para evitar posibles ataques.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se encuentra en la funciΓ³n recvmsg() del componente rxrpc. Esta funciΓ³n se utiliza para recibir mensajes de otros procesos. Sin embargo, debido a un error en la implementaciΓ³n, la funciΓ³n puede reenviar mensajes sin realizar la debida validaciΓ³n, lo que permite a un atacante enviar comandos maliciosos y ejecutar cΓ³digo no autorizado.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-23066: vigilar la existencia de esta vulnerabilidad en los componentes rxrpc instalados.
  • Parche disponible: Microsoft no proporciona detalles sobre la disponibilidad de parches para esta vulnerabilidad en la publicaciΓ³n proporcionada.
  • RecomendaciΓ³n: Es fundamental mantener los componentes rxrpc actualizados y realizar revisiones de seguridad regulares para detectar y abordar posibles vulnerabilidades.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-1703 Limited path traversal when instalando archivos de rueda

πŸ” QuΓ© estΓ‘ pasando

  • Se identificΓ³ una vulnerabilidad en la instalaciΓ³n de archivos de rueda (wheel archives) que permite un acceso limitado a travΓ©s de traversal de ruta.
  • La vulnerabilidad estΓ‘ asociada con el CVE-2026-1703.
  • No se proporcionan detalles adicionales sobre la informaciΓ³n publicada.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante realizar un acceso no autorizado a ciertas Γ‘reas del sistema, lo que podrΓ­a llevar a la exfiltraciΓ³n de datos confidenciales o la ejecuciΓ³n de cΓ³digo malicioso. AdemΓ‘s, si una organizaciΓ³n utiliza archivos de rueda para instalar software o actualizar dependencias, esta vulnerabilidad podrΓ­a ser explotada para comprometer el entorno de desarrollo.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se produce cuando se instalan archivos de rueda (con extensiΓ³n .whl) en un entorno de Windows. Los archivos de rueda contienen un archivo de metadatos (con extensiΓ³n .dist-info) que contiene informaciΓ³n sobre la versiΓ³n y la dependencia del archivo. Un atacante podrΓ­a utilizar un archivo de rueda malicioso para realizar un acceso no autorizado a travΓ©s de traversal de ruta, lo que permitirΓ­a acceder a archivos o directorios no autorizados.

πŸ‘οΈ QuΓ© vigilar

  • Verificar la versiΓ³n de las herramientas de instalaciΓ³n de Python para asegurarse de que estΓ©n actualizadas.
  • Utilizar un gestor de paquetes de Python seguro, como pip, para instalar archivos de rueda.
  • Revisar los archivos de rueda antes de instalarlos para asegurarse de que no contengan cΓ³digo malicioso.

πŸ”— Fuente consultada: MSRC Microsoft

CloudSecurity β€” AWS completa la segunda auditorΓ­a comunitaria GDV con aseguradoras participantes en Alemania

πŸ” QuΓ© estΓ‘ pasando

  • AWS completa la segunda auditorΓ­a comunitaria GDV con la participaciΓ³n de 36 aseguradoras de la industria alemΓ‘n.
  • La auditorΓ­a abarca mΓ‘s del 63% del mercado alemΓ‘n en tΓ©rminos de prima de seguro.
  • Participan mΓ‘s de la mitad de los aseguradores alemanes.

⚠️ Por qué importa

La auditorΓ­a comunitaria de GDV ofrece una seguridad adicional a las aseguradoras que participan, asegurando que sus datos y operaciones en AWS se encuentren en conformidad con las regulaciones y normas de la industria. Esto es especialmente importante para las organizaciones que manejan grandes cantidades de datos sensibles, como informaciΓ³n de clientes y polΓ­ticas de seguro.

βš™οΈ CΓ³mo funciona

Las auditorΓ­as comunitarias de GDV implican una evaluaciΓ³n independiente de la conformidad de AWS con las regulaciones y normas de la industria alemΓ‘n. Esta evaluaciΓ³n incluye la revisiΓ³n de la arquitectura de seguridad, la implementaciΓ³n de controles de seguridad y la evaluaciΓ³n de la respuesta a incidentes de AWS. El objetivo es proporcionar una seguridad adicional a las aseguradoras que participan, asegurando que sus datos y operaciones en AWS se encuentren en conformidad con las regulaciones y normas de la industria.

πŸ‘οΈ QuΓ© vigilar

  • Revisa la lista de aseguradoras participantes en la auditorΓ­a GDV para asegurarte de que tu organizaciΓ³n estΓ© cumpliendo con las regulaciones y normas de la industria.
  • AsegΓΊrate de que tus controles de seguridad estΓ©n alineados con las mejores prΓ‘cticas de la industria y cumplan con las regulaciones y normas de la industria alemΓ‘n.
  • Considera participar en auditorΓ­as comunitarias o evaluar la conformidad de tu proveedor de servicios en la nube con las regulaciones y normas de la industria.

πŸ”— Fuente consultada: AWS Security

ThreatIntel β€” LLMs Fragiles: Fuzzing de Prompts Revela Debilidad en Modelos Abiertos y Cerrados

πŸ” QuΓ© estΓ‘ pasando

  • Un equipo de investigaciΓ³n de Unit 42 ha descubierto debilidades en modelos de inteligencia artificial de lenguaje (LLMs) utilizando un mΓ©todo de fuzzing inspirado en algoritmos genΓ©ticos.
  • El mΓ©todo de fuzzing se aplicΓ³ a modelos de LLMs tanto abiertos como cerrados.
  • No se proporciona un CVE ID especΓ­fico.

⚠️ Por qué importa

La fragilidad de los LLMs puede tener graves implicaciones para la seguridad de los sistemas de inteligencia artificial generativa (GenAI). Los atacantes pueden aprovechar estas debilidades para llevar a cabo ataques de evasiΓ³n y exfiltraciΓ³n de datos sensibles. Esto puede comprometer la confidencialidad y la integridad de la informaciΓ³n sensible en las organizaciones que utilizan LLMs.

βš™οΈ CΓ³mo funciona

El equipo de investigaciΓ³n de Unit 42 utilizΓ³ un mΓ©todo de fuzzing inspirado en algoritmos genΓ©ticos para generar una gran cantidad de promotores aleatorios y evaluar la respuesta de los modelos de LLMs. Esto permitiΓ³ identificar patrones y debilidades en la respuesta de los modelos. El mΓ©todo se aplicΓ³ tanto a modelos de LLMs abiertos como cerrados, lo que sugiere que la fragilidad es un problema comΓΊn en la industria.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: No se proporcionan IOCs especΓ­ficos en la noticia.
  • Parches: No se mencionan parches disponibles para abordar la debilidad.
  • Recomendaciones: Las organizaciones que utilizan LLMs deben considerar la implementaciΓ³n de medidas de seguridad adicionales para proteger contra ataques de evasiΓ³n y exfiltraciΓ³n de datos. Esto puede incluir la implementaciΓ³n de tΓ©cnicas de detecciΓ³n de anomalΓ­as y la configuraciΓ³n de controles de acceso restrictivos.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Vulnerabilidad β€” LABScon25 Replay | Ciberdelincuentes explotan arquitectura DeFi y se llevan $9 mil millones

πŸ” QuΓ© estΓ‘ pasando

  • Ciberdelincuentes explotan vulnerabilidades en la arquitectura DeFi para llevar a cabo heists en criptomercados.
  • Se estima que los ciberdelincuentes han obtenido $9 mil millones a travΓ©s de estos ataques.
  • El experto Andrew MacPherson revela cΓ³mo se utilizan servicios de "drainers-as-a-service" y lavado de fondos para esconder el dinero obtenido.

⚠️ Por qué importa

La explotaciΓ³n de la arquitectura DeFi por parte de ciberdelincuentes supone un riesgo significativo para las criptomonedas y los usuarios de los servicios de DeFi. Estos ataques pueden llevar a la pΓ©rdida de grandes cantidades de dinero y, en ΓΊltima instancia, erosionar la confianza en la industria de la criptomoneda. AdemΓ‘s, la facilidad con la que se pueden llevar a cabo estos ataques tambiΓ©n plantea preocupaciones sobre la seguridad en general de los sistemas financieros.

βš™οΈ CΓ³mo funciona

Los ciberdelincuentes explotan vulnerabilidades en la arquitectura DeFi para acceder a fondos de usuarios y criptomonedas. Una vez que tienen acceso, utilizan servicios de "drainers-as-a-service" para transferir el dinero a cuentas seguras y, posteriormente, lo lavan a travΓ©s de diversas transacciones para evitar ser detectados. Estos servicios permiten a los ciberdelincuentes llevar a cabo heists en criptomercados, como el que sucediΓ³ en Bybit, donde se perdieron $1.5 mil millones.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Investigar la posible presencia de malware y herramientas de ciberdelincuentes en sistemas y redes.
  • Parche: Actualizar y mantener actualizados los sistemas y aplicaciones para evitar la explotaciΓ³n de vulnerabilidades conocidas.
  • RecomendaciΓ³n: Realizar un anΓ‘lisis de riesgo exhaustivo de la arquitectura DeFi y tomar medidas para fortalecer la seguridad y la resistencia a ataques.

πŸ”— Fuente consultada: SentinelOne Labs

ThreatIntel β€” The SOC Files: Time a "Sapecar". Desglosando una nueva campaΓ±a Horabot en MΓ©xico

πŸ” QuΓ© estΓ‘ pasando

  • Se ha detectado una campaΓ±a compleja de Horabot en MΓ©xico.
  • La campaΓ±a fue descubierta y analizada por Kaspersky SOC.
  • Los analistas de Kaspersky comparten sus hallazgos sobre cΓ³mo se desplega y cΓ³mo detectar este tipo de amenazas.

⚠️ Por qué importa

Las campaΓ±as de Horabot pueden tener un impacto significativo en las organizaciones mexicanas, ya que pueden comprometer sistemas y datos confidenciales. AdemΓ‘s, la complejidad de estas campaΓ±as dificulta su detecciΓ³n y anΓ‘lisis, lo que las hace aΓΊn mΓ‘s peligrosas. Es fundamental que las organizaciones estΓ©n preparadas y tengan medidas de seguridad adecuadas para protegerse contra este tipo de amenazas.

βš™οΈ CΓ³mo funciona

La campaΓ±a de Horabot se despliega a travΓ©s de una combinaciΓ³n de tΓ©cnicas de phishing y explotaciΓ³n de vulnerabilidades en sistemas operativos y aplicaciones. Los atacantes utilizan herramientas de automatizaciΓ³n para identificar y explotar vulnerabilidades en sistemas de red y dispositivos finales. Una vez que se ha comprometido el sistema, los atacantes pueden instalar malware y acceder a datos confidenciales.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: busque actividad sospechosa relacionada con la campaΓ±a Horabot, como archivos y directorios especΓ­ficos asociados con el malware.
  • Parches disponibles: asegΓΊrese de que los sistemas operativos y aplicaciones estΓ©n actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: implemente medidas de seguridad avanzadas, como detecciΓ³n de amenazas basada en comportamiento y anΓ‘lisis de redes, para detectar y prevenir ataques de Horabot.

πŸ”— Fuente consultada: Kaspersky Securelist

Cibercrimen β€” Windsurf IDE Extension Drops Malware via Solana Blockchain

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una extensiΓ³n malsana de Windsurf IDE que utiliza la cadena de bloques Solana como infraestructura de payload.
  • La extensiΓ³n deploys un robo de nodos multi-etapa NodeJS.
  • El ataque se realizΓ³ mediante el uso de la extensiΓ³n de Windsurf IDE.

⚠️ Por qué importa

El ataque puede tener un impacto significativo en las organizaciones que utilizan la extensiΓ³n de Windsurf IDE. La extensiΓ³n puede permitir a los atacantes acceder a informaciΓ³n confidencial y comprometer la seguridad de los sistemas. AdemΓ‘s, la utilizaciΓ³n de la cadena de bloques Solana como payload infrastructure puede dificultar la detecciΓ³n y respuesta a los ataques.

βš™οΈ CΓ³mo funciona

La extensiΓ³n de Windsurf IDE se utiliza para depolar un robo de nodos multi-etapa NodeJS. El ataque comienza con la descarga de la extensiΓ³n, que se instala en el entorno de desarrollo. La extensiΓ³n luego utiliza la cadena de bloques Solana para descargar el payload, que es un robo de nodos NodeJS. El robo de nodos se ejecuta en el entorno de desarrollo, permitiendo a los atacantes acceder a informaciΓ³n confidencial y comprometer la seguridad de los sistemas.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: La extensiΓ³n de Windsurf IDE malsana se ha descubierto y se recomienda evitar su uso.
  • Parches disponibles: No hay parches disponibles para la extensiΓ³n de Windsurf IDE, pero se recomienda eliminarla de los entornos de desarrollo.
  • Recomendaciones concretas: Las organizaciones deben revisar su uso de la extensiΓ³n de Windsurf IDE y eliminarla de los entornos de desarrollo. AdemΓ‘s, se recomienda utilizar herramientas de detecciΓ³n de malware y realizar anΓ‘lisis de seguridad regular para identificar y responder a posibles ataques.

πŸ”— Fuente consultada: Bitdefender Labs

Vulnerabilidad β€” Transparent COM instrumentation for malware analysis

In this article,Β Cisco Talos presentsΒ DispatchLogger, a new open-source tool that delivers high visibility into late-boundΒ IDispatchΒ COM object interactions via transparent proxy interception.

πŸ”— Fuente consultada: Talos Intelligence

Top comments (0)