DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

πŸ›‘οΈ Threat Intel Diario β€” 21/06/2026

#security

πŸ€– Auto-generated daily threat intelligence digest β€” June 21, 2026

🚨 Alerta cibernΓ©tica diaria β€” 21 de junio de 2026
Fuentes: BleepingComputer, Group-IB, MSRC Microsoft, The Hacker News, Unit 42 (Palo Alto)

Un dΓ­a en el que la ciberdelincuencia se refleja en la cadena de suministro y la vulnerabilidad tecnolΓ³gica: amenazas en la cadena de suministro y descubrimientos de vulnerabilidades que ponen en peligro la seguridad de nuestros sistemas.

Vulnerabilidad β€” CVE-2025-5791 Users: root agregado a listados de grupos

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una nueva vulnerabilidad identificada como CVE-2025-5791.
  • La vulnerabilidad afecta a un componente especΓ­fico de Microsoft.
  • El informe de vulnerabilidad se publicΓ³ en el sitio web de Microsoft Security Response Center (MSRC).

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante agregar al usuario root a listados de grupos, lo que podrΓ­a dar como resultado un acceso no autorizado a recursos y datos sensibles. Esta acciΓ³n podrΓ­a ser utilizada para realizar actividades maliciosas, como la escalada de privilegios o la exfiltraciΓ³n de datos.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a un error en la forma en que un componente de Microsoft maneja la lista de grupos de un sistema. Cuando un atacante explota esta vulnerabilidad, puede agregar al usuario root a la lista de grupos, lo que le da acceso no autorizado a recursos y datos sensibles del sistema.

πŸ‘οΈ QuΓ© vigilar

  • La vulnerabilidad se encuentra actualmente en la fase de publicaciΓ³n de un informe, por lo que es posible que aΓΊn no haya parches disponibles.
  • Es importante que los administradores de sistemas revisen los listados de grupos en busca de inicios de sesiΓ³n no autorizados de root.
  • Se recomienda a los usuarios mantener sus sistemas actualizados y estar atentos a cualquier cambio inesperado en la configuraciΓ³n de seguridad de sus sistemas.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2025-4574 Crossbeam-channel: crossbeam-channel vulnerable to double free on drop

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en la biblioteca Crossbeam-channel.
  • La vulnerabilidad es conocida como CVE-2025-4574.
  • El problema afecta a la biblioteca Crossbeam-channel, que es utilizada para manejar canales de comunicaciΓ³n entre hilos.

⚠️ Por qué importa

La vulnerabilidad CVE-2025-4574 puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema de una organizaciΓ³n que utilice la biblioteca Crossbeam-channel. Esto puede llevar a la ejecuciΓ³n de un ataque de escape de sandbox, lo que permite al atacante acceder a privilegios elevados y causar daΓ±os significativos. Las organizaciones que utilicen la biblioteca Crossbeam-channel deben tomar medidas para mitigar este riesgo y proteger sus sistemas.

βš™οΈ CΓ³mo funciona

La vulnerabilidad CVE-2025-4574 se debe a un error de "double free" en la biblioteca Crossbeam-channel. Cuando se intenta liberar un recurso que ya ha sido liberado, el sistema puede entrar en un estado inconsistente, lo que permite a un atacante explotar la vulnerabilidad y ejecutar cΓ³digo arbitrario. Los desarrolladores de la biblioteca Crossbeam-channel han identificado el problema y estΓ‘n trabajando en una correcciΓ³n.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Los desarrolladores de la biblioteca Crossbeam-channel estΓ‘n trabajando en una correcciΓ³n para la vulnerabilidad CVE-2025-4574.
  • RecomendaciΓ³n: Las organizaciones que utilicen la biblioteca Crossbeam-channel deben actualizar a la versiΓ³n mΓ‘s reciente para evitar la vulnerabilidad.
  • Monitoreo: Las organizaciones deben monitorear sus sistemas para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad CVE-2025-4574.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-45445 AES-OCB IV Ignored on EVP_Cipher() Path

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado informaciΓ³n sobre una vulnerabilidad en el protocolo AES-OCB.
  • El problema se encuentra en el camino EVP_Cipher() del protocolo.
  • El CVE ID asignado es CVE-2026-45445.

⚠️ Por qué importa

Esta vulnerabilidad puede permitir a un atacante ignorar la informaciΓ³n de inicializaciΓ³n de vector (IV) en el protocolo AES-OCB, lo que puede facilitar ataques de criptoanΓ‘lisis. Las organizaciones que utilizan el protocolo AES-OCB en su infraestructura de seguridad pueden estar expuestas a este riesgo.

βš™οΈ CΓ³mo funciona

El protocolo AES-OCB utiliza un mecanismo de inicializaciΓ³n de vector (IV) para garantizar la seguridad de la comunicaciΓ³n criptografada. Sin embargo, la vulnerabilidad CVE-2026-45445 permite a un atacante ignorar el IV, lo que puede llevar a que la comunicaciΓ³n se descifre fΓ‘cilmente. Esto se debe a que el atacante puede manipular el flujo de datos de manera que el IV sea ignorado, lo que da como resultado una debilitaciΓ³n de la seguridad del protocolo.

πŸ‘οΈ QuΓ© vigilar

  • CVE-2026-45445: Identificador del problema en el sitio web de NIST.
  • Parches disponibles: Esperar a que Microsoft publique parches para solucionar la vulnerabilidad.
  • Revisar protocolos de comunicaciΓ³n: Verificar si se estΓ‘n utilizando protocolos de comunicaciΓ³n que pueden estar afectados por esta vulnerabilidad y tomar medidas para mitigar el riesgo.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-34183 Unbounded Memory Growth en el Manejador de PATH_CHALLENGE de QUIC

πŸ” QuΓ© estΓ‘ pasando

  • Se ha identificado una vulnerabilidad de crecimiento de memoria sin lΓ­mite en el manejador de PATH_CHALLENGE de QUIC.
  • El CVE-2026-34183 se ha publicado oficialmente.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en este momento.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34183 puede causar un crecimiento de memoria sin control en aplicaciones que utilizan el protocolo QUIC, lo que podrΓ­a provocar una sobreendeudamiento de memoria y, en ΓΊltima instancia, una caΓ­da o una inestabilidad del sistema. Esto puede afectar la estabilidad y la seguridad de los servicios y aplicaciones que dependen del protocolo QUIC.

βš™οΈ CΓ³mo funciona

El manejador de PATH_CHALLENGE de QUIC utiliza un mecanismo para verificar la conectividad entre dos puntos. Sin embargo, en el caso de la vulnerabilidad CVE-2026-34183, se descubre que el manejador no tiene una limitaciΓ³n adecuada en el crecimiento de memoria, lo que permite un atacante aprovechar esta debilidad para consumir recursos de memoria y causar una caΓ­da del sistema.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Microsoft ha publicado un parche para esta vulnerabilidad. Es importante actualizar las aplicaciones y los sistemas que utilicen el protocolo QUIC.
  • IOC: La vulnerabilidad se puede identificar mediante la detecciΓ³n de un crecimiento anormal de memoria en aplicaciones que utilizan QUIC.
  • Recomendaciones: Las organizaciones deben actualizar sus aplicaciones y sistemas para aplicar el parche disponible y asegurarse de que estΓ©n utilizando la versiΓ³n mΓ‘s reciente del protocolo QUIC.

πŸ”— Fuente consultada: MSRC Microsoft

Vulnerabilidad β€” CVE-2026-7383 Posible Buffer Overflow en Pila al Convertir Cadena de MΓΊltiples Bytes de ASN.1

πŸ” QuΓ© estΓ‘ pasando

  • Se ha publicado una posible vulnerabilidad de buffer overflow en pila en la conversiΓ³n de cadenas de mΓΊltiples bytes de ASN.1.
  • El CVE afecta a las implementaciones de ASN.1 que no verifican adecuadamente la longitud de las cadenas de mΓΊltiples bytes.
  • La vulnerabilidad se encuentra en el momento de la conversiΓ³n de las cadenas de mΓΊltiples bytes.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-7383 puede permitir a un atacante ejecutar cΓ³digo arbitrario en el sistema, lo que podrΓ­a llevar a una escalada de privilegios. Las organizaciones que utilicen implementaciones vulnerables de ASN.1 deben actualizarse lo antes posible para evitar ser explotados por esta vulnerabilidad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad se debe a que las implementaciones de ASN.1 no verifican adecuadamente la longitud de las cadenas de mΓΊltiples bytes antes de realizar la conversiΓ³n. Esto puede llevar a un buffer overflow en la pila, lo que permite a un atacante ejecutar cΓ³digo arbitrario en el sistema.

πŸ‘οΈ QuΓ© vigilar

  • Revisa tus implementaciones de ASN.1 para asegurarte de que estΓ©n actualizadas y no vulnerables a CVE-2026-7383.
  • Aplica los parches disponibles para las implementaciones de ASN.1 afectadas.
  • Verifica que tus sistemas estΓ©n configurados para detectar y bloquear el trΓ‘fico que podrΓ­a intentar explotar esta vulnerabilidad.

πŸ”— Fuente consultada: MSRC Microsoft

ThreatIntel β€” Threat Brief: Mitigating Large-Scale Credential Attacks

πŸ” QuΓ© estΓ‘ pasando

  • Ataques a gran escala contra credenciales estΓ‘n siendo utilizados en campaΓ±as recientes que apuntan a dispositivos de proveedores de seguridad.
  • Se estΓ‘n utilizando tΓ©cnicas de ingenierΓ­a social y ataques de phishing para obtener credenciales de acceso a dispositivos de seguridad.

⚠️ Por qué importa

Las campaΓ±as de ataques a credenciales a gran escala pueden tener un impacto significativo en la seguridad de las organizaciones y los usuarios. Algunas de las consecuencias pueden incluir el acceso no autorizado a sistemas crΓ­ticos, la exfiltraciΓ³n de datos confidenciales y la compromiso de dispositivos de seguridad. Esto puede llevar a una pΓ©rdida de confianza en los proveedores de seguridad y a un aumento en la carga de trabajo para las equipos de seguridad.

βš™οΈ CΓ³mo funciona

Los atacantes estΓ‘n utilizando tΓ©cnicas de ingenierΓ­a social y ataques de phishing para obtener credenciales de acceso a dispositivos de seguridad. Una vez que se han obtenido las credenciales, los atacantes pueden acceder a los sistemas y realizar acciΓ³n nefasta. Los atacantes tambiΓ©n estΓ‘n utilizando herramientas de automatizaciΓ³n para realizar ataques a gran escala y maximizar los beneficios.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Credenciales de acceso robadas de dispositivos de seguridad.
  • Parches disponibles: Actualizar los sistemas y dispositivos de seguridad con las ΓΊltimas actualizaciones de seguridad.
  • Recomendaciones concretas: Implementar medidas de autenticaciΓ³n adicional, como la autenticaciΓ³n a dos factores, y realizar entrenamiento a los usuarios sobre la importancia de la seguridad de la informaciΓ³n y cΓ³mo identificar ataques de phishing.

πŸ”— Fuente consultada: Unit 42 (Palo Alto)

Cibercrimen β€” GitBait: Phishing dirigido al sector financiero mexicano

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una infraestructura de phishing modular dirigida a mΓΊltiples bancos mexicanos.
  • La infraestructura utiliza GitHub Pages y scripts ofuscados para evadir detecciΓ³n.
  • La exfiltraciΓ³n de credenciales se centraliza mediante la API de SheetBest.

⚠️ Por qué importa

Este phishing dirigido al sector financiero mexicano puede tener un impacto significativo en las organizaciones afectadas, ya que las credenciales robadas pueden ser utilizadas para realizar operaciones fraudulentas y daΓ±ar la reputaciΓ³n de las marcas. AdemΓ‘s, la infraestructura modular y escalable de este phishing indica que podrΓ­a ser difΓ­cil de detectar y erradicar.

βš™οΈ CΓ³mo funciona

La infraestructura de phishing utiliza GitHub Pages como plataforma para hostear las pΓ‘ginas de phishing, lo que permite a los atacantes aprovechar las credenciales de GitHub para evitar detecciΓ³n. Los scripts ofuscados utilizados en la infraestructura dificultan la detecciΓ³n de malware y otras amenazas. La API de SheetBest se utiliza para centralizar la exfiltraciΓ³n de credenciales, lo que indica una operaciΓ³n de phishing persistente y escalable.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: Se deben vigilar las pΓ‘ginas de GitHub Pages que se utilizan para hostear las pΓ‘ginas de phishing.
  • Parches: Es importante asegurarse de que las credenciales de GitHub estΓ©n actualizadas y seguras.
  • Recomendaciones: Las organizaciones deben fortalecer sus sistemas de detecciΓ³n de phishing y realizar entrenamiento a sus empleados para que puedan identificar y evitar pΓ‘ginas de phishing.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” GitBait: Phishing el Sector Financiero Mexicano

πŸ” QuΓ© estΓ‘ pasando

  • Un ataque de phishing modular ha sido descubierto, dirigido contra mΓΊltiples bancos mexicanos.
  • El ataque utiliza GitHub-hosted Pages para alojar contenido phishing.
  • Se emplean scripts obfuscados y una API de SheetBest para exfiltrar credenciales de manera centralizada.

⚠️ Por qué importa

Este ataque de phishing modular y persistente puede tener un impacto significativo en las organizaciones financieras mexicanas, ya que permite a los atacantes comprometer mΓΊltiples marcas de manera escalable. Las vΓ­ctimas podrΓ­an sufrir pΓ©rdidas financieras y daΓ±os a su reputaciΓ³n.

βš™οΈ CΓ³mo funciona

El ataque utiliza GitHub-hosted Pages para alojar contenido phishing, lo que permite a los atacantes aprovechar la credibilidad de GitHub para engaΓ±ar a las vΓ­ctimas. Los scripts obfuscados se utilizan para evitar detecciΓ³n por parte de los sistemas de seguridad. Una vez que las vΓ­ctimas ingresan sus credenciales, las mismas se envΓ­an a una API de SheetBest para su exfiltraciΓ³n centralizada.

πŸ‘οΈ QuΓ© vigilar

  • IOC: GitHub-hosted Pages utilizados para alojar contenido phishing.
  • Parches disponibles: Asegurarse de que los sistemas de seguridad estΓ‘n actualizados para detectar scripts obfuscados y exfiltraciΓ³n de credenciales a travΓ©s de SheetBest API.
  • Recomendaciones: Las organizaciones financieras mexicanas deben estar alertas sobre este tipo de ataque y tomar medidas para proteger a sus clientes, como implementar autenticaciΓ³n multifactor y monitorear sus cuentas de GitHub para detectar actividades sospechosas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Sniper’s Nest: Plataforma centrada en PhaaS con impersonaciΓ³n de marcas y fraude de CPA

πŸ” QuΓ© estΓ‘ pasando

  • Se descubre una plataforma centrada en PhaaS (Phishing-as-a-Service) llamada SniperDz, que cuenta con mΓ‘s de 80 plantillas de phishing listas para uso, lo que implica una gran capacidad de impersonaciΓ³n de marcas globales.
  • La plataforma impone mΓ‘s de 30 marcas globales, lo que sugiere una gran organizaciΓ³n detrΓ‘s de este ecosistema de fraude sofisticado.
  • Se revela la infraestructura oculta detrΓ‘s de este sistema, lo que permite a los autores llevar a cabo fraudes complejos.

⚠️ Por qué importa

La apariciΓ³n de plataformas PhaaS como SniperDz puede tener un impacto significativo en la seguridad de las organizaciones y usuarios. Al contar con plantillas listas para uso y una gran capacidad de impersonaciΓ³n de marcas, estos servicios en la nube pueden ser utilizados para llevar a cabo ataques de phishing masivos y complejos. Esto puede provocar pΓ©rdidas financieras significativas para las organizaciones y daΓ±os a la reputaciΓ³n.

βš™οΈ CΓ³mo funciona

SniperDz funciona como una plataforma de PhaaS que permite a los autores crear y enviar correos electrΓ³nicos de phishing personalizados y sofisticados. La plataforma cuenta con mΓ‘s de 80 plantillas de phishing listas para uso, que pueden ser personalizadas para impersonar a mΓ‘s de 30 marcas globales. Esto permite a los autores llevar a cabo ataques de phishing complejos y sofisticados, lo que puede ser difΓ­cil de detectar para los sistemas de seguridad tradicionales.

πŸ‘οΈ QuΓ© vigilar

  • IOC: El dominio de la plataforma de PhaaS (sniperdz[.]ru) y otros dominios relacionados deben ser monitoreados por los sistemas de seguridad.
  • Parche disponible: No se han reportado parches especΓ­ficos para esta plataforma de PhaaS.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad adicionales para protegerse contra ataques de phishing, como la capacitaciΓ³n de empleados, la implementaciΓ³n de sistemas de seguridad avanzados y la supervisiΓ³n constante de los sistemas de seguridad.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” SilabRAT, What’s Your Power?

πŸ” QuΓ© estΓ‘ pasando

  • SilabRAT es un troyano de acceso remoto (RAT) avanzado vendido como Malware-as-a-Service (MaaS) en foros de Darkweb.
  • Fue desarrollado por el actor amenazante "o1oo1".
  • SilabRAT se centra en el robo de credenciales para obtener ganancias financieras.

⚠️ Por qué importa

La venta de SilabRAT como MaaS en Darkweb supone un riesgo significativo para las organizaciones y usuarios. Al ser un RAT avanzado, puede bypassar medidas de seguridad existentes, lo que facilita su uso para robo de credenciales y otros ataques maliciosos. Esto puede tener un impacto negativo en la confiabilidad de la informaciΓ³n y la seguridad de los sistemas.

βš™οΈ CΓ³mo funciona

SilabRAT se ejecuta en segundo plano y puede capturar informaciΓ³n sensible como contraseΓ±as, nΓΊmeros de tarjeta de crΓ©dito y otros datos de autenticaciΓ³n. TambiΓ©n puede acceder a la cΓ‘mara del dispositivo, grabar audio y video, y tomar capturas de pantalla. AdemΓ‘s, puede descargar y ejecutar archivos maliciosos, lo que permite a los atacantes tomar el control total del dispositivo infectado.

πŸ‘οΈ QuΓ© vigilar

  • IOC: Buscar conexiones con dominios conocidos de Darkweb y servicios de MaaS.
  • Parches: Actualizar sistemas operativos y aplicaciones a versiones mΓ‘s seguras.
  • Recomendaciones: Implementar medidas de seguridad adicionales como firewalls, antivirus y software de detecciΓ³n de intrusos, y realizar anΓ‘lisis de seguridad regular para detectar y mitigar posibles amenazas.

πŸ”— Fuente consultada: Group-IB

Cibercrimen β€” Error 524 Decoy: Desenmascarando una OperaciΓ³n Global de Smishing Oculta Tras PΓ‘ginas de Error

πŸ” QuΓ© estΓ‘ pasando

  • La operaciΓ³n de smishing y phishing a gran escala suplanta mΓ‘s de 260 marcas en 72 paΓ­ses.
  • Los atacantes utilizan pΓ‘ginas de error 524 falsas para evadir el anΓ‘lisis.
  • Los investigadores de Group-IB han desenmascarado la operaciΓ³n.

⚠️ Por qué importa

Esta operaciΓ³n de cibercrimen puede tener un impacto significativo en las organizaciones y usuarios, especialmente en aquellos que no tienen medidas de seguridad adecuadas en place. Los atacantes pueden obtener acceso a datos confidenciales, como contraseΓ±as y nΓΊmeros de tarjeta de crΓ©dito, lo que puede provocar pΓ©rdidas financieras y daΓ±os a la reputaciΓ³n.

βš™οΈ CΓ³mo funciona

Los atacantes crean pΓ‘ginas de error 524 falsas que parecen ser parte de un problema de conexiΓ³n con el servidor. Sin embargo, en realidad, estas pΓ‘ginas estΓ‘n diseΓ±adas para recopilar informaciΓ³n de los usuarios que intentan acceder a ellas, como direcciones de correo electrΓ³nico y contraseΓ±as. Los atacantes luego utilizan esta informaciΓ³n para enviar correos electrΓ³nicos de phishing y smishing que parecen ser legΓ­timos, pero en realidad estΓ‘n diseΓ±ados para engaΓ±ar a los usuarios y obtener mΓ‘s informaciΓ³n confidencial.

πŸ‘οΈ QuΓ© vigilar

  • IOC: PΓ‘ginas de error 524 falsas que parecen ser parte de un problema de conexiΓ³n con el servidor.
  • Parches disponibles: Es importante que las organizaciones y usuarios mantengan sus sistemas y aplicaciones actualizados con los ΓΊltimos parches de seguridad.
  • Recomendaciones concretas: Los usuarios deben ser cautelosos al recibir correos electrΓ³nicos que soliciten informaciΓ³n confidencial o que parezcan ser parte de un problema de conexiΓ³n con el servidor. Es importante verificar la autenticidad de los correos electrΓ³nicos y no proporcionar informaciΓ³n confidencial a menos que sea absolutamente necesario.

πŸ”— Fuente consultada: Group-IB

Vulnerabilidad β€” Hackers Explotan Bicho en Plugin Gravity SMTP de WordPress para Exponer Claves de API

πŸ” QuΓ© estΓ‘ pasando

  • Amenaza: threat actors estΓ‘n explotando una vulnerabilidad recientemente parcheada en Gravity SMTP, un plugin de WordPress instalado en aproximadamente 100,000 sitios.
  • Identificador de vulnerabilidad: CVE-2026-4020 (CVSS score: 5.3)
  • Tipo de vulnerabilidad: informaciΓ³n revelada (disclosure) de tipo medio

⚠️ Por qué importa

La explotaciΓ³n de esta vulnerabilidad puede permitir a los atacantes acceder a datos sensibles como la configuraciΓ³n del sitio, claves de API, secretos y tokens de OAuth. Esto puede provocar una pΓ©rdida de datos confidenciales y una violaciΓ³n de la seguridad de los sitios afectados. Es importante que los administradores de sitios web actualicen el plugin Gravity SMTP lo antes posible para evitar ser vΓ­ctimas de esta vulnerabilidad.

βš™οΈ CΓ³mo funciona

La vulnerabilidad afecta a la forma en que el plugin Gravity SMTP maneja la informaciΓ³n sensible de los sitios web. Los atacantes pueden explotar esta vulnerabilidad enviando una solicitud especΓ­fica al sitio web, lo que permite acceder a datos confidenciales sin autenticarse. Esto se debe a una falta de validaciΓ³n adecuada de la informaciΓ³n de entrada, lo que permite a los atacantes inyectar cΓ³digo malicioso y acceder a datos sensibles.

πŸ‘οΈ QuΓ© vigilar

  • Parche disponible: Los administradores de sitios web deben actualizar el plugin Gravity SMTP a la versiΓ³n mΓ‘s reciente para evitar ser afectados por esta vulnerabilidad.
  • Monitorear el trΓ‘fico de la red: Los administradores deben monitorear el trΓ‘fico de la red para detectar cualquier actividad sospechosa relacionada con la explotaciΓ³n de esta vulnerabilidad.
  • Verificar claves de API: Los administradores deben verificar si sus claves de API han sido expuestas y tomar medidas para reemplazarlas en caso de ser necesario.

πŸ”— Fuente consultada: The Hacker News

Cibercrimen β€” AryStinger botnet infectΓ³ miles de routers D-Link en todo el mundo

πŸ” QuΓ© estΓ‘ pasando

  • El botnet AryStinger infectΓ³ mΓ‘s de 4.000 routers D-Link obsoletos para convertirlos en proxies de trΓ‘fico malicioso.
  • El botnet estaba desconocido hasta ahora.
  • No se proporciona informaciΓ³n sobre el CVE ID asociado.

⚠️ Por qué importa

La infecciΓ³n de routers D-Link por el botnet AryStinger puede tener graves consecuencias para las organizaciones y usuarios afectados. Al convertir los routers en proxies de trΓ‘fico malicioso, el botnet puede comprometer la seguridad de la red, exponiendo a los usuarios a ataques de phishing, ransomware y otros tipos de ciberdelitos. AdemΓ‘s, la infecciΓ³n puede ser difΓ­cil de detectar y eliminar, lo que puede provocar una pΓ©rdida de confianza en la seguridad de los sistemas y aplicaciones conectados a los routers infectados.

βš™οΈ CΓ³mo funciona

El botnet AryStinger infecta routers D-Link mediante una vulnerabilidad no especificada en la noticia. Una vez infectado, el router se convierte en un proxy de trΓ‘fico malicioso, permitiendo al botnet enviar trΓ‘fico malicioso a travΓ©s de la red. Es importante destacar que el botnet no se ha documentado previamente, lo que sugiere que puede ser un nuevo tipo de amenaza que requiere atenciΓ³n y anΓ‘lisis adicional.

πŸ‘οΈ QuΓ© vigilar

  • IOCs: No se proporcionan IOCs especΓ­ficos en la noticia.
  • Parches disponibles: No se menciona la disponibilidad de parches para las vulnerabilidades afectadas.
  • Recomendaciones: Es importante que los usuarios y organizaciones actualicen sus routers D-Link a versiones mΓ‘s recientes y seguras, y tambiΓ©n que implementen medidas de seguridad adicionales, como la configuraciΓ³n de autenticaciΓ³n y la implementaciΓ³n de firewalls, para prevenir futuras infecciones.

πŸ”— Fuente consultada: BleepingComputer

Cibercrimen β€” New Prinz Eugen ransomware prioritiza archivos recientes para cifrado

πŸ” QuΓ© estΓ‘ pasando

  • Se ha descubierto una nueva operaciΓ³n de ransomware llamada 'Prinz Eugen'.
  • El ransomware prioriza archivos modificados recientemente para el cifrado.
  • No deja nota de rescate en el sistema.

⚠️ Por qué importa

La apariciΓ³n de este nuevo ransomware es preocupante ya que puede afectar a organizaciones y usuarios que no tienen medidas de seguridad adecuadas en lugar. La priorizaciΓ³n de archivos recientes para el cifrado puede llevar a una pΓ©rdida de datos importantes y crΓ­ticos, lo que puede tener consecuencias financieras y de reputaciΓ³n graves para las organizaciones afectadas.

βš™οΈ CΓ³mo funciona

El Prinz Eugen ransomware parece funcionar de manera similar a otros ransomware, buscando y cifrando archivos modificados recientemente en el sistema. No se proporciona informaciΓ³n sobre la tΓ©cnica especΓ­fica utilizada para el cifrado, pero se asume que utiliza un algoritmo de cifrado avanzado para hacer imposible la desifrado sin la clave de descifrado proporcionada por los atacantes.

πŸ‘οΈ QuΓ© vigilar

  • Buscar actividad sospechosa de ransomware en sistemas que han sido comprometidos.
  • Actualizar sistemas y aplicaciones con parches disponibles para mitigar vulnerabilidades conocidas.
  • Realizar copias de seguridad regulares de datos importantes y mantener una estrategia de recuperaciΓ³n de desastres actualizada.

πŸ”— Fuente consultada: BleepingComputer

Ciberseguridad β€” Microsoft links Mastra AI supply chain attack a hackers norcoreanos

πŸ” QuΓ© estΓ‘ pasando

  • Un ataque de cadena de suministros en Mastra AI comprometiΓ³ mΓ‘s de 140 paquetes npm.
  • Microsoft atribuyΓ³ el ataque a la banda de hackers norcoreanos Sapphire Sleet, tambiΓ©n conocida como BlueNoroff.
  • El ataque involucrΓ³ paquetes npm vulnerables, incluyendo el paquete @mastra-ui con el CVE ID CVE-2022-46169.

⚠️ Por qué importa

El ataque a la cadena de suministros de Mastra AI puede tener un impacto significativo en las organizaciones que dependen de los paquetes npm comprometidos. Los hackers pueden haber obtenido acceso a credenciales de acceso, datos confidenciales y otros activos valiosos. AdemΓ‘s, el uso de paquetes vulnerables puede permitir a los atacantes realizar ataques de inyecciΓ³n de cΓ³digo y otros tipos de ataques.

βš™οΈ CΓ³mo funciona

El ataque involucrΓ³ la inyecciΓ³n de cΓ³digo malicioso en paquetes npm vulnerables. Los hackers utilizaron un paquete npm llamado @mastra-ui que contenΓ­a un componente vulnerado. Cuando los desarrolladores instalaron el paquete, se ejecutΓ³ el cΓ³digo malicioso, lo que permitiΓ³ a los hackers acceder al sistema y realizar acciones maliciosas.

πŸ‘οΈ QuΓ© vigilar

  • Verificar si se han instalado paquetes npm comprometidos en el proyecto.
  • Actualizar los paquetes npm a versiones mΓ‘s recientes.
  • Revisar las credenciales de acceso y los permisos de acceso para detectar posibles cambios no autorizados.

πŸ”— Fuente consultada: BleepingComputer

Top comments (0)