Hackers usan la calculadora de Windows para infectar equipos

Los hackers encontraron un método inusual para infectar las PC con malware

Compartir en:

El Universal,  Ciudad de México, Mexico, 

Los piratas informáticos encontraron un método inusual y poco convencional para infectar las PC con malware: distribuir código peligroso con la Calculadora de Windows.

Las personas detrás del conocido malware QBot han logrado encontrar una manera de usar el programa para cargar código malicioso en los sistemas infectados.

Los expertos de ProxyLife descubrieron que la herramienta de calculadora de Windows se puede usar para infectar el dispositivo con Qbot, un malware que se usa para entregar balizas Cobalt Strike en dispositivos específicos, que a menudo es el primer paso en un ataque de ransomware. 

¿Cómo funciona el ataque?

El ataque comienza con un intento de phishing. El actor de la amenaza le enviará un correo a la víctima, adjuntando un archivo HTML que, a su vez, descarga un archivo .ZIP protegido por contraseña.

Estar protegido con contraseña ayuda a que la carga útil evite la detección del antivirus (se abre en una pestaña nueva) por los programas al extraer el archivo .ZIP.

Una vez abierto este archivo, se muestra un archivo .ISO, un formato de archivo digital que replica un CD, DVD o BD físico. De ejecutar el .ISO se generan cuatro archivos: dos archivos .DLL (uno de los cuales es el malware Qbot), un acceso directo (que se hace pasar por el archivo que se supone que la víctima debe abrir) y el programa de calculadora (calc.exe).

Ejecutar archivos DLL maliciosos

El acceso directo no hace más que abrir la calculadora, pero aquí está el “detalle”, ya que cuando la calculadora comience a funcionar, buscará los archivos .DLL necesarios para ejecutarse correctamente.

No los buscará en carpetas específicas, sino, ante todo, en la misma carpeta que calc.exe. Lo que nos lleva de vuelta a los dos archivos .DLL que la víctima descargó junto con la Calculadora.

Ejecutar la calculadora activará el primer archivo .DLL, y ese activará el segundo, en este caso, el malware Qbot. La práctica también se conoce como carga lateral de DLL.

También vale la pena mencionar que este ataque no funciona en Windows 10 o Windows 11(se abre en una pestaña nueva), pero funciona en Windows 7, razón por la cual los actores de amenazas incluyen la versión de Windows 7. La campaña ha estado activa desde el 11 de julio.  

Windows Calculator no es un programa comúnmente utilizado por los actores de amenazas para infiltrarse en los objetivos, pero cuando se trata del estado actual de la piratería y su avance, nada parece estar más allá del ámbito de la posibilidad. La primera aparición de QBot en sí ocurrió hace más de una década y anteriormente se usó con fines de ransomware.

En otros lugares, hemos visto una tasa agresiva de actividad en el espacio de malware y piratería a lo largo de 2022, como el ataque HTTPS DDoS más grande de la historia . Las propias pandillas de ransomware también están evolucionando , por lo que no es una sorpresa que estén continuamente encontrando lagunas de las que beneficiarse.

Con el aumento alarmante de los delitos cibernéticos en general, el gigante tecnológico Microsoft incluso ha lanzado una iniciativa de seguridad cibernética , con el "panorama de seguridad [volviéndose] cada vez más desafiante y complejo para nuestros clientes". 

Visita y accede a todo nuestro contenido | www.cadenanoticias.com | Twitter: @cadena_noticias | Facebook: @cadenanoticiasmx | Instagram: @cadena_noticias | TikTok: @CadenaNoticias | Telegram: https://t.me/GrupoCadenaResumen |





Un fallo en el sistema de Microsoft provoca incidencias a nivel global

Compartir en:

EFE,  Ciudad de México, Mexico, 

El sector aéreo mundial fue uno de los más afectados por el fallo sufrido en los sistemas de Microsoft a raíz de una actualización defectuosa de la plataforma de seguridad informática CrowdStrike, que provocó incidencias en empresas en instituciones de todo el planeta desde esta pasada noche.

La compañía ha admitido que un fallo en una actualización de su plataforma CrowdStrike Falcon, uno de los sistemas de protección de Windows, ha provocado el caos, y asegura que ya trabaja para revertir estos cambios.

Pero no solo las aerolíneas han resultado afectadas. El fallo también ha afectado a bancos, instituciones, organismos y hospitales.

Sin indicios de ciberataque

No hay indicios de que detrás de este incidente haya un ciberataque, señalan expertos consultados por EFE y confirma el Instituto Nacional de Ciberseguridad (Incibe).

En concreto, aunque no vinculado a un ciberataque, el problema sí está relacionado con una empresa de ciberseguridad.

Tal y como relata el Incibe en su web, una actualización defectuosa del software propiedad de la empresa de ciberseguridad CrowdStrike ha causado un fallo masivo en equipos con sistema operativo Windows. No se trata de un ciberataque.

La empresa ha admitido el fallo y asegura que ya trabaja para revertir estos cambios.

Dicha actualización defectuosa ha provocado que diversas computadoras estén atrapadas en un ciclo de arranque, también conocido en el sector como la “Pantalla Azul de la Muerte”, afectando a servicios aeroportuarios, aerolíneas, redes ferroviarias, medios de comunicación y otras organizaciones en todo el mundo.

El Incibe ha facilitado a los operadores la información necesaria para mitigar el impacto del incidente, y se están recuperando progresivamente los sistemas, y se ha implementado un protocolo de atención especial con la información correspondiente a ciudadanos y empresas a través del servicio 017 Tu Ayuda en Ciberseguridad.

En tierra vuelos de grandes compañías de EEUU

Por su parte, todos los vuelos de varias de las grandes compañías aéreas estadounidenses -entre ellas Delta, United y American Airlines- quedaron en tierra debido a un apagón sufrido por Microsoft.

La Administración Federal de Aviación (FAA por sus siglas en inglés) de EEUU confirmó el incidente que afecta a todos los vuelos de las aerolíneas del país, independientemente de su destino.

Se ignora cuánto tiempo durará la parada en tierra de las aeronaves aunque la FAA indicó que se realizan actualizaciones del sistema para recobrar la normalidad.

Suspendido el tráfico aéreo en el aeropuerto de Berlín

El tráfico aéreo quedó suspendido también en el aeropuerto de Berlín-Brandeburgó por problemas técnicos, informaron los medios.

“Debido a un fallo técnico, hay retrasos en la facturación. Las operaciones de vuelo están suspendidas hasta las 10.00 de la mañana” (08.00 GMT), dijo una portavoz del aeropuerto en declaraciones al diario Bild sin dar más detalles.

Según informa la radiotelevisión pública rbb, debido a problemas técnicos masivos las operaciones de vuelo quedaron interrumpidas el viernes por la mañana y una portavoz del aeropuerto confirmó que ningún avión pudo despegar ni aterrizar.



Guacamaya Leaks: revelan viajes de la familia presidencial a diferentes países

Compartir en:

Ciudad de México, Mexico, 

Entre los archivos hackeados a la Sedena por los “ciberactivistas”, Guacamaya, se hallaron documentos de viajes de la familia presidencial a Houston, al Reino Unido, a Francia, Italia, Alemania, Polonia y Japón, acompañados de personal militar.

Viajes de la familia presidencial

Uno de los viajes reportados en informes militares confidenciales se realizó en la segunda quincena de enero de 2020 a Houston, Texas, en donde en esos días el hijo mayor del presidente Andrés Manuel López Obrador habitaba la llamada “Casa Gris”.

En una serie de oficios y fichas elaborados por personal militar consta que la “NO” primera dama, Beatriz Müller y uno de sus hijos viajaron el 18 de enero de 2020 a Houston “con el fin de llevar a cabo actividades privadas”, para lo cual fueron comisionados cinco militares.

Cuando se realizó ese viaje, José Ramón tenía cuatro meses de haberse mudado a la polémica “Casa Gris”, la cual en ese momento era propiedad de quien fuera un alto ejecutivo de la compañía de servicios petroleros Baker Hughes, que en el actual sexenio ha acumulado miles de millones de pesos en contratos en Pemex.

“La Casa Gris”, el escándalo que reveló la falsa austeridad presidencial

En el reportaje de “La Casa Gris” publicado a finales de enero de 2022 por Mexicanos contra la Corrupción y la Impunidad (MCCI) y Latinus, se comprobó que José Ramón López Beltrán y su pareja habían habitado esa residencia entre septiembre de 2019 y julio de 2020.

En los documentos de #SedenaLeaks se menciona que para acompañar a la esposa y a un hijo del presidente en su viaje a Houston, se comisionó a cinco militares: el teniente coronel Marco Antonio Palomares Sánchez, el capitán primero de infantería Aldo César González Bobadilla y la Subteniente Nancy Aglae Jiménez Serrano, en labores de ayudantía; el mayor de infantería Carlos Tiburcio Zárate Priss, como escolta, y la Mayor Tania Carolina García Martínez, en apoyo a servicio médico. Todos volaron en una aerolínea comercial.

El protocolo de seguridad seguido para la familia del presidente es similar al que seguía en anteriores sexenios el Estado Mayor Presidencial, el cual según López Obrador ya desapareció, aunque hay evidencias que en realidad sólo está en receso, como documentó MCCI en un reportaje en diciembre de 2021.

De hecho, quien realizó las gestiones para el apoyo militar en el viaje a Houston fue el Teniente coronel de infantería del Estado Mayor, Marco Antonio Palomares.

Posteriormente, el 21 de noviembre de 2020 se ordenó comisionar a otros tres militares para acompañar a la esposa y a un hijo del presidente a un segundo viaje a Houston, también “con el fin de llevar a cabo actividades privadas”, según se lee en los documentos hackeados.

Sin embargo, al final el apoyo militar fue cancelado. La esposa del presidente suspendió su viaje, aunque dos hijos del presidente sí volaron en esa ocasión en vuelo comercial a Houston, de acuerdo con los reportes militares.

Viaje a Europa y a Japón

El 8 de septiembre de 2020, fue enviado al secretario particular del titular de la Sedena una petición para comisionar a seis militares en apoyo a la esposa del presidente, quien el mes siguiente viajaría a Francia, Italia, Alemania y Polonia, “a fin de llevar a cabo actividades oficiales y privadas”.

Cuatro de los militares asignados a ese viaje cumplieron labores de ayudantía, uno como escolta y uno más en servicio médico.

La Presidencia había informado que el viaje de Beatriz Gutiérrez Müller era en representación del presidente López Obrador, para gestionar con mandatarios de Europa la restitución a México de objetos de valor histórico, incluidos códices prehispánicos.

El reporte oficial era que el viaje fue a Francia, Italia y Austria, pero en los reportes militares hackeados se menciona que ampliarían el itinerario a Polonia y Alemania. Sin embargo, en el informe militar no se anexó la bitácora o boletos de ese recorrido.

Mediante peticiones de información, la Organización Nacional Anticorrupción obtuvo en marzo de 2021 documentos que revelaron que el costo de aquel viaje a Europa de Gutiérrez Müller ascendió a 364 mil pesos, aunque no se sabía que había viajado con comitiva militar.

Un año antes de esa gira por Europa, en octubre de 2019, la Sedena reportó el viaje a Japón de la esposa y un hijo del presidente, acompañados de cuatro militares para el servicio de ayudantía y protección.

Ese viaje a Japón fue para representar al presidente de México en la ceremonia de entronización de Naruhito como Emperador de Japón.

El 16 de julio de 2022, la Sedena elaboró un reporte confidencial en el que se menciona que aquel día voló a Londres, en la aerolínea Aeroméxico, un hijo del presidente en compañía del hijo de la embajadora de México en el Reino Unido.

El retorno se programó para el 7 de agosto del mismo año, y según el reporte militar, durante las tres semanas de estancia del hijo del presidente en el Reino Unido, estuvo “bajo la tutela de la maestra Josefa González Blanco Ortiz Mena, embajadora de México en referida nación”.

Visita y accede a todo nuestro contenido | www.cadenanoticias.com | Twitter: @cadena_noticias | Facebook: @cadenanoticiasmx | Instagram: @cadenanoticiasmx | TikTok: @CadenaNoticias | Telegram: https://t.me/GrupoCadenaResumen |



El enemigo está en casa: memorias USB abren la puerta a hackers

Más de la mitad de las amenazas proviene de memorias portátiles y la tendencia va en aumento.

Compartir en:

El Sol,  Ciudad de México, Mexico, 

México es el país con más ciberataques en América Latina, pero pese a lo que se pueda pensar la mayoría no provienen de sitios web o correos electrónicos; el enemigo está en casa, ya que más de la mitad de las amenazas proviene de memorias portátiles USB.

De acuerdo con la firma de tecnología Honeywell, incluida en la lista de Fortune, 52 por ciento de las amenazas de seguridad cibernética proviene de estos dispositivos.

Las amenazas diseñadas para utilizarse en medios extraíbles crecieron en 15 puntos porcentuales en un año, según el Informe de amenazas USB de seguridad cibernética industrial de Honeywell 2022.

“La cuarta edición de este informe revela una tendencia evidente, las amenazas a la seguridad cibernética continúan siendo cada vez más prominentes y potentes”, indicó la empresa.

Pese a que la nube es cada vez más utilizada para guardar archivos, miles de usuarios siguen utilizando memorias portátiles USB para el resguardo de su información, lo que hace a estos equipos atractivos para los ciberdelincuentes.

Empresas como IBM han prohibido desde hace años a sus empleados el uso de estas memorias en el trabajo, con el fin de evitar este tipo de incidentes.

El reporte de Honeywell advierte que una tercera parte de los ataques por estos medios va dirigido a industrias.

“Ahora tenemos claro que los medios extraíbles como las unidades USB, se están utilizando para penetrar en entornos industriales de tecnología operativa y que, las organizaciones deben implementar programas formales para defenderse de este tipo de amenaza y así evitar interrupciones en su funcionamiento habitual”, dijo José Fernandes, presidente de Performance Materials Technologies para Honeywell Latinoamérica.

Los troyanos y el malware de acceso remoto son las principales amenazas esparcidas a través de memorias USB.

El reporte señala que las amenazas capaces de propagarse a través de USB pasaron de 19 por ciento en 2019 a poco más del 37 por ciento en 2020 y más de la mitad el año pasado.

ADVERTENCIAS PREVIAS

Si bien el resultado representa un patrón de desaceleración, la firma subrayó que aún resulta preocupante el crecimiento, el cual dijo se encuentra en la mayoría de los indicadores.

Ya desde 2019 empresas de ciberseguridad advertían este crecimiento.

Kaspersky dijo entonces que el principal vector de los ataques de malware, o programas de código maliciosos, era la USB, por encima de la navegación web.

El riesgo, advierten los especialistas, es que estas amenazas pasan del hogar al trabajo y pueden infectar a más usuarios, ya que es común prestar la USB para compartir archivos.

A su vez, la firma Honeywell apuntó que el monitoreo constante, así como los controles reforzados de seguridad USB son necesarios para contar con una defensa que sea efectiva contra la creciente amenaza de ataques que utilizan este tipo de medios extraíbles.

Visita y accede a todo nuestro contenido | www.cadenanoticias.com | Twitter: @cadena_noticias | Facebook: @cadenanoticiasmx | Instagram: @cadenanoticiasmx | TikTok: @CadenaNoticias | Telegram: https://t.me/GrupoCadenaResumen |



Alertan que la base de datos de Banorte habría sido filtrada

Compartir en:

Ciudad de México, Mexico, 

La base de datos de Banorte habría sido filtrada, la cual contiene datos de sus clientes.

Se trata de una base de datos de 1.4 GB de información de nombres y datos de los clientes de Banorte, la cual fue filtrada en un sitio web enfocado en la venta de archivos.

Así lo informó la Red en Defensa de los Derechos Digitales (R3D), pero fue el periodista de investigación, Brian Krebs, especializado en delitos informáticos, quien alertó la filtración de datos de Banorte.

El periodista dijo que el administrador del foro de delitos cibernéticos Breached anunció que recibieron una carta de cese y desistimiento en la que se afirmaba que la noticia del hilo del foro en el que se vendían los datos de un banco, era falsa.

Además de falsa, se aseguraba que dañaba la reputación del banco, por lo que en respuesta, el administrador adquirió los datos y los filtró en el sitio web.

Según una imagen que compartió el periodista, el administrador escribió:

“Compré estos datos para filtrarlos (con permiso del vendedor) porque Grupo-IB me enviaba correos electrónicos quejándose de ello. También intentaron enviar UMCA contra el sitio web. Asegúrense de decirle a Banorte que ahora deben preocuparse de que se filtren los datos en lugar de que solo se vendan, Sr. Grupo-IB. La próxima vez no me molesten”. Administrador de Breached

Estos son los datos de los clientes de Banorte que fueron filtrados

R3D detalló cuáles son los datos de los clientes de Banorte que fueron filtrados:

  • Nombre completo
  • RFC
  • Sexo
  • Dirección (calle, número, municipio, entidad, código postal)
  • Números telefónicos
  • Correo electrónico
  • Balance de cuenta

Por si fuera poco, R3D aseguró que se verificó la información de la base de datos, por lo se sugiere que la información que fue filtrada es verídica.



Falla de Google permite leer los correos de otra persona sin contraseña

Compartir en:

Cadena Noticias,  Mexico, Baja California, Tijuana, 

Google cuenta con varias herramientas para proteger Gmail, sin embargo, recientemente la plataforma presentó una falla: permite leer los correos de otro persona sin contraseña.

De acuerdo con Business Insider, un grupo de ciberdelincuentes de Corea del Norte se encuentra involucrado con el uso de “SharpExt”, un virus que es capaz de robar, cifrar o borrar los datos, incluso espía la actividad en el ordenador sin permiso.

¿Cómo funciona SharpExt?

El virus SharpExt tiene la capacidad de observar o extraer los datos que se encuentran dentro del correo electrónico, y principalmente se ejecuta en tres navegadores: Google Chrome, Microsoft Edge y Whale.

Es importante mencionar que los ciberdelincuentes emplean técnicas de Phishing y Spear Phishing e ingeniería social para engañar a sus víctimas, quienes piensan que están instalando una extensión inocente en sus programas.

La empresa de ciberseguridad Volexity destacó que este tipo de virus ha estado operando durante al menos un año, por lo que en ese periodo de tiempo han logrado robar millones de correos electrónicos de terceros.

Ya hemos visto agentes maliciosos procedentes de Corea del Norte lanzar ataques de phishing donde sus víctimas eran engañadas para instalar extensiones de navegador que incluían un mecanismo para garantizar su persistencia y el robado de datos", señaló Volexity.

Finalmente, la compañía de ciberseguridad puntualizó que los correos electrónicos que son víctimas de este virus son aquellos que contienen información delicada. Aún así recomendaron proteger la cuenta de Gmail y tener cuidado con los datos que se manejen.

Visita y accede a todo nuestro contenido | www.cadenanoticias.com | Twitter: @cadena_noticias | Facebook: @cadenanoticiasmx | Instagram: @cadena_noticias | TikTok: @CadenaNoticias | Telegram: https://t.me/GrupoCadenaResumen |