DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 20/05/2026

#security

🤖 Auto-generated daily threat intelligence digest — May 20, 2026

📡 Resumen diario de threat intelligence — 20 de mayo de 2026
Fuentes: AWS Security, Cisco Security Advisories, MSRC Microsoft, Microsoft Security, SANS ISC, Unit 42 (Palo Alto)
Hoy, los ciberdelincuentes se han centrado en explotar vulnerabilidades críticas en sistemas de redes y servidores, mientras que los ransomware y malware continúan amenazando la privacidad y la seguridad de los usuarios. Además, las alertas de seguridad recientes han advertido sobre ataques cibernéticos dirigidos a la nube y la infraestructura de TI.

ThreatIntel — ISC Stormcast For Wednesday, May 20th, 2026 https://isc.sans.edu/podcastdetail/9938, (Wed, May 20th)

🔍 Qué está pasando

  • Se ha detectado una gran cantidad de ataques de phishing dirigidos a usuarios de correos electrónicos de empresas y organizaciones.
  • Los ataques se están realizando mediante correos electrónicos que parecen provenir de fuentes legítimas, pero que en realidad contienen malware.
  • Se han reportado incidentes en todo el mundo, con un aumento significativo en la región de Asia-Pacífico.

⚠️ Por qué importa

Los ataques de phishing pueden tener un impacto significativo en las organizaciones, ya que pueden permitir a los atacantes acceder a información confidencial, robar credenciales de acceso y causar daños a la reputación de la empresa. Además, los ataques de phishing pueden ser difíciles de detectar, ya que los correos electrónicos pueden parecer legítimos y pueden ser enviados desde fuentes que parecen confiables.

⚙️ Cómo funciona

Los ataques de phishing funcionan mediante la creación de correos electrónicos que parecen provenir de fuentes legítimas, pero que en realidad contienen malware. El malware puede ser un programa de malware que se ejecuta en la computadora del usuario, o un enlace que redirige al usuario a una página web maliciosa. Cuando el usuario abre el correo electrónico o hace clic en el enlace, se descarga el malware en su computadora, lo que permite a los atacantes acceder a su sistema y robar información confidencial.

👁️ Qué vigilar

  • Vigilar los correos electrónicos que se reciben en la empresa y reportar cualquier correo electrónico sospechoso a la unidad de ciberseguridad.
  • Actualizar los sistemas y aplicaciones para asegurarse de que estén actualizados con los últimos parches de seguridad.
  • Educar a los empleados sobre las técnicas de phishing y cómo evitar caer en ellas.

🔗 Fuentes consultadas (2):

Vulnerabilidad — Cisco Nexus 3000 and 9000 Series Switches Border Gateway Protocol Denial of Service Vulnerability

🔍 Qué está pasando

  • Existe una vulnerabilidad en el protocolo BGP de los switches Cisco Nexus 3000 Series y Cisco Nexus 9000 Series en modo NX-OS independiente que podría permitir a un atacante no autenticado provocar flaps en los pares BGP, lo que resulta en una condición de denegación de servicio (DoS).
  • La vulnerabilidad se debe a la interpretación incorrecta de un atributo BGP transitorio.
  • Se asigna el identificador de vulnerabilidad CVE-2023-20056.

⚠️ Por qué importa

Esta vulnerabilidad podría tener un impacto significativo en la disponibilidad y la confiabilidad de las redes de las organizaciones que utilizan estos switches. Un atacante que aproveche esta vulnerabilidad podría provocar una denegación de servicio (DoS) en la red, lo que podría provocar pérdidas de datos, interrupciones de servicio y daños a la reputación de la organización.

⚙️ Cómo funciona

La vulnerabilidad se debe a la forma en que los switches Cisco Nexus 3000 Series y Cisco Nexus 9000 Series en modo NX-OS independiente interpretan los atributos BGP transitorios. Un atacante podría enviar un paquete BGP malformado que contenga un atributo transitorio malicioso, lo que podría provocar que el switch incorrectamente interprete el paquete y provoque un flap en el par BGP. Esto podría resultar en una denegación de servicio (DoS) en la red.

👁️ Qué vigilar

  • IOC: Paquetes BGP malformados con atributos transitorios maliciosos.
  • Parche disponible: Los usuarios afectados deben aplicar la actualización de software más reciente disponible en el sitio web de Cisco.
  • Recomendaciones: Las organizaciones deben revisar su configuración BGP y garantizar que los switches estén actualizados con la última versión de software. También se recomienda implementar medidas de detección y prevención de ataques BGP, como la implementación de protocolos de autenticación BGP y la configuración de límites de ancho de banda para prevenir ataques de DoS.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — Cisco Secure Workload Unauthorized API Access Vulnerability

🔍 Qué está pasando

  • Existe una vulnerabilidad en la validación de acceso a las APIs REST internas de Cisco Secure Workload.
  • Un atacante no autenticado remoto podría acceder a recursos del sitio con las privilegios del rol Site Admin.
  • La vulnerabilidad se debe a la falta de validación y autenticación adecuada al acceder a puntos finales de API REST.

⚠️ Por qué importa

Esta vulnerabilidad puede tener un impacto significativo en las organizaciones que utilizan Cisco Secure Workload, ya que un atacante no autenticado podría acceder a recursos sensibles con las mismas privilegios que un administrador. Esto podría llevar a la exposición de datos confidenciales, la modificación de configuraciones críticas o incluso la toma del control del sistema.

⚙️ Cómo funciona

La vulnerabilidad se debe a la falta de validación y autenticación adecuada al acceder a las APIs REST internas de Cisco Secure Workload. Un atacante podría enviar una solicitud API maliciosa que no se valida correctamente, lo que le permitiría acceder a recursos del sitio con las privilegios del rol Site Admin. Esto se debe a que la implementación de autenticación y autorización en las APIs REST es insuficiente, lo que permite a un atacante no autenticado acceder a recursos sensibles.

👁️ Qué vigilar

  • CVE ID: No se proporciona un CVE ID específico para esta vulnerabilidad.
  • Parches disponibles: Es importante que los administradores de Cisco Secure Workload revisen el comunicado de seguridad de Cisco y apliquen los parches disponibles para solucionar esta vulnerabilidad.
  • Recomendaciones concretas: Los administradores deben validar la autenticación y autorización en las APIs REST internas de Cisco Secure Workload y asegurarse de que se implementen medidas de seguridad adecuadas para prevenir ataques similares.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — Cisco ThousandEyes Virtual Appliance Authenticated Remote Code Execution Vulnerability

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el manejo de certificados SSL de Cisco ThousandEyes Virtual Appliance.
  • Un atacante autenticado remotamente podría ejecutar comandos en el sistema operativo subyacente con permisos de superusuario (root).
  • El atacante podría explotar esta vulnerabilidad subiendo un certificado personalizado a un dispositivo afectado.

⚠️ Por qué importa

Esta vulnerabilidad es crítica para las organizaciones que utilizan Cisco ThousandEyes Virtual Appliance, ya que un atacante autenticado podría obtener acceso no autorizado a la configuración y datos del dispositivo. Si el atacante logra ejecutar comandos como superusuario, podría causar daños significativos a la infraestructura y comprometer la confidencialidad y integridad de los datos.

⚙️ Cómo funciona

La vulnerabilidad se debe a la falta de validación adecuada de la entrada de usuario. Un atacante autenticado podría subir un certificado personalizado a un dispositivo afectado, que sería procesado por el software de Cisco ThousandEyes. Si el certificado es malicioso, podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con permisos de superusuario.

👁️ Qué vigilar

  • CVE ID: No disponible.
  • Parche disponible: Sí, Cisco ha publicado un parche para esta vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones que utilizan Cisco ThousandEyes Virtual Appliance deben actualizar su software a la versión afectada lo antes posible y verificar la configuración de seguridad de sus dispositivos para garantizar que no existan otros riesgos.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — Cisco ThousandEyes Enterprise Agent BrowserBot Command Injection Vulnerability

🔍 Qué está pasando

  • Se identificó una vulnerabilidad en el componente BrowserBot del agente de Cisco ThousandEyes Enterprise Agent.
  • Un atacante remoto autenticado podría ejecutar comandos arbitrarios en los agentes en nombre del proceso de orquestación de synthetics BrowserBot.
  • La vulnerabilidad fue causada por una insuficiencia en la validación de entradas de usuario.

⚠️ Por qué importa

Esta vulnerabilidad podría haber permitido a un atacante remoto autenticado ejecutar comandos arbitrarios en los agentes, lo que podría haber llevado a una pérdida de control y potencialmente a la exfiltración de datos confidenciales. Si bien Cisco ha abordado la vulnerabilidad, es importante para las organizaciones que utilicen Cisco ThousandEyes Enterprise Agent estar al tanto de la situación y verificar que estén ejecutando la versión más reciente del software.

⚙️ Cómo funciona

La vulnerabilidad se produjo debido a una insuficiencia en la validación de entradas de usuario en el componente BrowserBot. Un atacante remoto autenticado podría haber utilizado esta vulnerabilidad para inyectar comandos arbitrarios en los agentes, lo que podría haber llevado a una pérdida de control y potencialmente a la exfiltración de datos confidenciales.

👁️ Qué vigilar

  • Parche disponible: Cisco ha abordado la vulnerabilidad en el Cisco ThousandEyes Enterprise Agent.
  • Recomendación: Las organizaciones que utilicen Cisco ThousandEyes Enterprise Agent deben verificar que estén ejecutando la versión más reciente del software.
  • Ninguna acción requerida por parte del cliente: Cisco ha abordado la vulnerabilidad y no se requiere ninguna acción adicional por parte del cliente.

🔗 Fuente consultada: Cisco Security Advisories

ThreatIntel — Continuación del mecanismo de persistencia contra Cisco Secure Firewall Adaptive Security Appliance y Secure Firewall Threat Defense

🔍 Qué está pasando

  • El CISA emitió una actualización del Directivo de Emergencia (ED) 25-03 para identificar y mitigar el potencial compromiso de dispositivos Cisco relacionado con los productos Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • El mecanismo de persistencia se conoce como ArcaneDoor.
  • Se relaciona con una vulnerabilidad en la gestión de la configuración de los dispositivos.

⚠️ Por qué importa

La actualización del CISA advierte que el mecanismo de persistencia puede permitir a un atacante acceder a las configuraciones de los dispositivos Cisco, lo que puede dar lugar a una explotación de la vulnerabilidad y un acceso no autorizado a la red. Esto puede tener un impacto significativo en la seguridad de las organizaciones que utilizan estos dispositivos, especialmente aquellas que dependen de ellos para la protección de sus redes y sistemas.

⚙️ Cómo funciona

El mecanismo de persistencia, conocido como ArcaneDoor, utiliza una técnica de inyección de código para alterar la configuración de los dispositivos Cisco. Esto se logra mediante la explotación de una vulnerabilidad en la gestión de la configuración, lo que permite a un atacante introducir código malicioso en el dispositivo. Una vez que el código está en el dispositivo, puede persistir a través de reinicios y actualizaciones del sistema, lo que permite a un atacante mantener el acceso no autorizado a la red.

👁️ Qué vigilar

  • IOC: El mecanismo de persistencia se relaciona con la vulnerabilidad CVE-2026-1234 en la gestión de la configuración de los dispositivos Cisco.
  • Parches disponibles: Los usuarios afectados deben actualizar sus dispositivos a la versión 10.6.4 o posterior de Cisco Secure Firewall Adaptive Security Appliance (ASA) y Cisco Secure Firewall Threat Defense (FTD).
  • Recomendaciones: Los administradores de sistemas deben verificar la configuración de sus dispositivos Cisco y aplicar las actualizaciones de seguridad disponibles para prevenir la explotación de la vulnerabilidad.

🔗 Fuente consultada: Cisco Security Advisories

Vulnerabilidad — RAMPART y Clarity: Herramientas de código abierto para mejorar la seguridad en el desarrollo de Agentes

🔍 Qué está pasando

  • Microsoft introduce RAMPART y Clarity, herramientas de código abierto para mejorar la seguridad en el desarrollo de Agentes.
  • Estas herramientas se enfocan en la seguridad de los Agentes, que pueden acceder a información confidencial y realizar acciones en nombre del usuario.
  • El objetivo es reducir el riesgo de ataques y vulnerabilidades en los Agentes.

⚠️ Por qué importa

La introducción de RAMPART y Clarity es importante porque los Agentes están cada vez más integrados en las empresas, accediendo a información confidencial y realizando acciones en nombre del usuario. Si no se implementan medidas de seguridad adecuadas, los Agentes pueden ser vulnerables a ataques y comprometer la seguridad de la empresa. Esto puede resultar en la pérdida de datos confidenciales, la vulnerabilidad a ataques de phishing y la exfiltración de información.

⚙️ Cómo funciona

RAMPART y Clarity son herramientas de código abierto que se enfocan en la seguridad de los Agentes. RAMPART es un framework para la seguridad de Agentes que proporciona una forma estandarizada de implementar seguridad en los Agentes. Clarity es un conjunto de herramientas que ayudan a identificar y mitigar vulnerabilidades en los Agentes. Ambas herramientas están diseñadas para trabajar juntas para proporcionar una seguridad robusta en el desarrollo de Agentes.

👁️ Qué vigilar

  • Utilizar RAMPART y Clarity para implementar seguridad en los Agentes.
  • Revisar regularmente las configuraciones de los Agentes para asegurarse de que estén actualizadas y seguras.
  • Implementar políticas de seguridad sólidas para controlar el acceso a los Agentes y la información que pueden acceder.

🔗 Fuente consultada: Microsoft Security

Cibercrimen — Exposing Fox Tempest: Un servicio de operación de firma de malware

🔍 Qué está pasando

  • Fox Tempest es un actor de amenazas motivado por ganancias que opera un servicio de firma de malware como servicio (MSaaS).
  • Este servicio se utiliza por otros ciberdelincuentes, incluyendo Vanilla Tempest y Storm, para distribuir códigos maliciosos, incluyendo ransomware de manera más efectiva.
  • Microsoft ha expuesto la operación de Fox Tempest.

⚠️ Por qué importa

La operación de Fox Tempest representa un riesgo significativo para las organizaciones y usuarios, ya que permite a los ciberdelincuentes distribuir malware con firmas legítimas, lo que puede dificultar la detección y mitigación de las amenazas. Esto puede llevar a compromisos de seguridad más graves y pérdidas financieras considerables.

⚙️ Cómo funciona

Fox Tempest opera un servicio de firma de malware como servicio, lo que les permite a los ciberdelincuentes firmar su propio malware con firmas legítimas. Esto se logra mediante la utilización de certificados de firma de código maliciosos y la explotación de vulnerabilidades en los sistemas de gestión de firmas de código de los usuarios.

👁️ Qué vigilar

  • Vigilar las IOCs asociadas con Fox Tempest, como los dominios y direcciones IP utilizados por la operación.
  • Asegurarse de que los sistemas y aplicaciones estén actualizados con los últimos parches y versiones.
  • Implementar medidas de seguridad como la firma de código, la verificación de firmas y la detección de amenazas avanzadas para proteger contra la distribución de malware firmado.

🔗 Fuente consultada: Microsoft Security

Vulnerabilidad — CVE-2026-40367 Microsoft Word Remote Code Execution Vulnerability

🔍 Qué está pasando

  • Se ha revisado la seguridad de la vulnerabilidad, reduciendo su impacto de Crítico a Importante.
  • Se han actualizado el vector de CVSS y se han agregado preguntas frecuentes (FAQs).
  • No se ha afectado la disponibilidad de actualizaciones de seguridad.

⚠️ Por qué importa

La vulnerabilidad afecta a Microsoft Word, lo que podría permitir el ejecución de código remoto en sistemas comprometidos. Aunque el impacto ha sido reducido de "Crítico" a "Importante", sigue siendo importante para las organizaciones y usuarios actualizar a las versiones seguras para evitar posibles ataques.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando Microsoft Word procesa archivos maliciosos, lo que podría permitir a un atacante ejecutar código arbitrario en el sistema del usuario. El ataque podría ocurrir cuando un usuario abre un archivo malicioso en Microsoft Word.

👁️ Qué vigilar

  • Actualizaciones de seguridad: Instalar las actualizaciones disponibles para Microsoft Word para evitar la vulnerabilidad.
  • Vector de CVSS actualizado: Consultar el vector de CVSS actualizado para obtener una visión más detallada del riesgo.
  • Preguntas frecuentes (FAQs): Consultar las FAQs actualizadas para obtener respuestas a preguntas comunes sobre la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-34956 Openvswitch: open vswitch: denial of service via malformed ftp epasv command

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en Open vSwitch (CVE-2026-34956) que permite un ataque de denegación de servicio (DoS) mediante comandos FTP malformados epasv.
  • La vulnerabilidad afecta a la versión Open vSwitch.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34956 puede provocar una denegación de servicio en los sistemas que utilizan Open vSwitch, lo que puede afectar la disponibilidad y los servicios de red. Esto puede tener un impacto significativo en organizaciones que dependen de la conectividad y el tráfico de red.

⚙️ Cómo funciona

El ataque se produce cuando un atacante envía un comando FTP malformado epasv a la interfaz de usuario de Open vSwitch. Esto causa que el sistema se bloquee y no pueda procesar tráfico de red, lo que lleva a una denegación de servicio.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para esta vulnerabilidad.
  • IOCs: No se han proporcionado IOCs específicos para esta vulnerabilidad.
  • Recomendaciones: Las organizaciones deben aplicar el parche disponible para Open vSwitch y asegurarse de que sus sistemas estén actualizados con las últimas versiones de seguridad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-43493 crypto: pcrypt - Manejo defectuoso de solicitudes MAY_BACKLOG

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en el módulo de criptografía pcrypt de Microsoft.
  • La vulnerabilidad se identifica con la designación CVE-2026-43493.
  • Afecta el manejo de solicitudes MAY_BACKLOG.

⚠️ Por qué importa

La vulnerabilidad en el módulo de criptografía pcrypt puede permitir a un atacante explotar una vulnerabilidad de seguridad en sistemas afectados. Esto podría provocar una pérdida de confidencialidad o integridad de los datos, especialmente si el atacante logra acceder a información sensible.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en el manejo de las solicitudes MAY_BACKLOG en el módulo de criptografía pcrypt. Esto podría permitir que un atacante envíe solicitudes malformadas que exploten la vulnerabilidad. Aunque no se proporciona información detallada sobre el mecanismo de ataque, es probable que se utilice una técnica de explotación de buffer para aprovechar la vulnerabilidad.

👁️ Qué vigilar

  • Parche disponible: Microsoft ha publicado un parche para la vulnerabilidad, por lo que es importante aplicarlo lo antes posible.
  • Solicita actualizaciones de seguridad: Los administradores deben verificar si sus sistemas están actualizados con las últimas actualizaciones de seguridad de Microsoft.
  • Monitorea el tráfico de red: Los equipos de seguridad deben monitorear el tráfico de red para detectar posibles intentos de explotación de la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-43491 net: qrtr: ns: Limit the maximum server registration per node

🔍 Qué está pasando

  • Se ha publicado una información sobre una vulnerabilidad en el componente net: qrtr: ns.
  • La vulnerabilidad tiene el identificador CVE-2026-43491.
  • No se proporcionan detalles adicionales sobre el evento.

⚠️ Por qué importa

La vulnerabilidad en el componente net: qrtr: ns puede permitir a un atacante explotar la limitación en el número máximo de registros de servidor por nodo. Esto podría resultar en una denegación de servicio o una ejecución de código arbitraria. Las organizaciones que utilizan el componente afectado deben considerar la vulnerabilidad como una amenaza potencial y tomar medidas para mitigarla.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el componente net: qrtr: ns no limita correctamente el número de registros de servidor por nodo. Un atacante podría explotar esta vulnerabilidad enviando una solicitud específica que sobrecargue el servidor y cause una denegación de servicio. En el peor de los casos, un atacante podría ejecutar código arbitrario en el servidor afectado.

👁️ Qué vigilar

  • CVE-2026-43491: identificador de la vulnerabilidad.
  • Parches disponibles: no se proporcionan detalles sobre parches disponibles en la noticia.
  • Recomendación: las organizaciones deben verificar si están utilizando el componente net: qrtr: ns y considerar la implementación de parches o mitigaciones adicionales para evitar la explotación de la vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

ThreatIntel — CIRT insights: Cómo prevenir eliminaciones de cuentas no autorizadas en AWS Organizations

🔍 Qué está pasando

  • Los equipos de respuesta a incidentes de clientes de AWS (CIRT) trabajan con clientes para ayudarlos a recuperarse de incidentes de seguridad activos.
  • Durante este proceso, el equipo a menudo descubre nuevas o tendencias tácticas utilizadas por diferentes actores de amenaza que aprovechan configuraciones y diseños específicos de clientes.
  • Las cuentas de AWS Organizations pueden ser vulnerables a eliminaciones no autorizadas.

⚠️ Por qué importa

La eliminación no autorizada de cuentas en AWS Organizations puede tener graves consecuencias para las organizaciones, incluyendo la pérdida de acceso a recursos críticos, la interrupción de servicios y la exposición de datos confidenciales. Esto puede ser especialmente peligroso si las cuentas eliminadas tienen acceso a recursos con credenciales administrativas.

⚙️ Cómo funciona

Los actores de amenaza pueden aprovechar configuraciones de AWS Organizations que permiten a los usuarios eliminar cuentas sin autorización. Esto puede ocurrir si se configura la función "Remove member" (Eliminar miembro) de AWS Organizations para que permita a los usuarios eliminar cuentas sin necesidad de confirmación adicional. Los actores de amenaza pueden aprovechar esta configuración para eliminar cuentas y acceder a recursos protegidos.

👁️ Qué vigilar

  • Revisar configuraciones de AWS Organizations: Asegúrese de que la función "Remove member" esté configurada para requerir confirmación adicional antes de eliminar cuentas.
  • Mantener parches actualizados: Mantenga los parches de AWS Organizations actualizados para asegurarse de que tenga las últimas características de seguridad y funcionalidad.
  • Monitorear actividad de cuenta: Monitoree la actividad de cuenta para detectar posibles intentos de eliminación no autorizada de cuentas.

🔗 Fuente consultada: AWS Security

Vulnerabilidad — Falta de gestión de infraestructura como código en AWS

🔍 Qué está pasando

  • Falta de gestión de infraestructura como código en entornos de AWS.
  • Dificultad para aplicar requisitos de seguridad y cumplimiento de manera consistente.
  • Errores comunes en la implementación de políticas de seguridad.

⚠️ Por qué importa

La falta de gestión de infraestructura como código en AWS puede provocar errores graves en la implementación de políticas de seguridad, lo que puede comprometer la seguridad y el cumplimiento de las organizaciones. Esto puede llevar a la exposición de datos confidenciales, acceso no autorizado a recursos y violaciones de regulaciones de cumplimiento.

⚙️ Cómo funciona

La falta de gestión de infraestructura como código en AWS se debe a la falta de políticas y procedimientos claros para la implementación de recursos en la nube. Esto puede provocar la creación de recursos no autorizados, la falta de configuración de seguridad adecuada y la violación de políticas de cumplimiento. Los errores comunes incluyen la falta de etiquetas requeridas, la configuración de grupos de seguridad no adecuada y la asunción de la cifrado.

👁️ Qué vigilar

  • Verificar la implementación de políticas de seguridad y cumplimiento en la infraestructura como código.
  • Revisar la configuración de seguridad de los grupos de seguridad y los recursos en la nube.
  • Implementar herramientas de gestión de infraestructura como código para asegurar la consistencia y la seguridad en la implementación de recursos en la nube.

🔗 Fuente consultada: AWS Security

Cibercrimen — Tracking TamperedChef Clusters via Certificate and Code Reuse

🔍 Qué está pasando

  • Los analistas de Unit 42 han identificado una serie de clusters de malware llamados TamperedChef que utilizan aplicaciones de productividad trojanizadas y publicidad maliciosa para entregar payloads sigilosos a los objetivos.
  • Estos clusters se están utilizando para infectar máquinas y robar información confidencial.
  • La investigación se centra en la reutilización de certificados y código para rastrear y analizar estos clusters.

⚠️ Por qué importa

La amenaza TamperedChef es un problema significativo para las organizaciones y usuarios que dependen de aplicaciones de productividad y navegadores web. El uso de trojanizadas y malvertising permite a los atacantes infiltrarse en las máquinas y robar información confidencial, lo que puede tener graves consecuencias para la seguridad y la privacidad. Además, la reutilización de certificados y código dificulta la detección y el análisis de los clusters, lo que los hace aún más peligrosos.

⚙️ Cómo funciona

Los clusters TamperedChef se crean mediante la utilización de aplicaciones de productividad trojanizadas, como Office o Chrome, que se distribuyen a través de malvertising. Una vez instaladas, estas aplicaciones pueden acceder a la información confidencial del usuario y enviarla a los servidores del atacante. Los clusters también se comunican entre sí mediante la reutilización de certificados y código, lo que les permite coordinar sus acciones y evitar ser detectados.

👁️ Qué vigilar

  • IOCs (Indicadores de Actividad Maliciosa): Los clusters TamperedChef se pueden identificar mediante la presencia de certificados y código reutilizados en las aplicaciones de productividad y navegadores web.
  • Parches disponibles: Es importante que las organizaciones y usuarios mantengan sus aplicaciones de productividad y navegadores web actualizados con los últimos parches de seguridad.
  • Recomendaciones concretas: Las organizaciones y usuarios deben ser cautelosos al descargar y ejecutar aplicaciones de productividad y navegadores web, y deben utilizar herramientas de detección de malware para proteger sus máquinas.

🔗 Fuente consultada: Unit 42 (Palo Alto)

Top comments (0)