- Advertisement -spot_img

Game Cheat Spyware, ransomware las 24 horas, acecho de sincronización de Chrome y 12 historias más

Muchos de los problemas de esta semana comienzan con algo que parece bastante cercano.

Un repositorio familiar. Un instalador útil. Una configuración de sincronización inofensiva. Luego, la transferencia sale mal, la caja comienza a hablar con otra persona y el daño avanza más rápido que la explicación.

Los viejos errores han regresado, los valores predeterminados débiles se están ganando su sustento y algunas rutas de ataque son tan sencillas que apenas parecen una investigación. Aquí está el desastre.

  1. Los trucos del juego eliminan software espía

    Los investigadores de ciberseguridad publicaron 11 paquetes NuGet maliciosos como herramientas de línea de comandos .NET que se presentan como utilidades de juego, bots y “paneles”, cada uno de los cuales actúa como un descargador de primera etapa responsable de buscar y ejecutar una carga útil de Python de segunda etapa llamada “pepesoft.exe” de las versiones de GitHub y las rutas de Hugging Face bajo el nombre de usuario “pepegit666”, junto con un mecanismo de reserva de BitTorrent inactivo integrado en él. “Las cargas útiles recuperadas utilizan material clave estilo AWS proporcionado por el descargador para recuperar la configuración remota, autenticarse en Google Sheets, vincular activaciones al hardware y respetar una lista de prohibición HWID/UUID remota”, dijo Socket. “En las tres cargas útiles de código de bytes directo, la aplicación de automatización de juegos más grande también expone comandos del bot de Telegram que pueden enviar capturas de pantalla al chat configurado”.

  2. Los instaladores falsos implementan RAT

    Se ha observado que UAT-11795, un adversario sofisticado, de habla rusa y con motivación financiera, lleva a cabo una campaña maliciosa dirigida a usuarios en los EE. UU. y Europa desde al menos junio de 2025. La actividad ofrece una herramienta de acceso remoto (RAT) basada en Python denominada Starland RAT y un implante de memoria de comando y control (C2) conocido como agente WLDR que utiliza instaladores troyanizados para software como herramientas de desarrollo, utilidades de administración de TI, plataformas de colaboración empresarial y aplicaciones de juegos para consumidores. (p. ej., MobaXterm, WebEx, Zoom, DBeaver y FaceIT). “El agente WLDR es un sofisticado implante de memoria C2 basado en PowerShell que presenta balizas cifradas, colas de tareas y un motor de ejecución Runspace para ejecutar cargas útiles adicionales”, dijo Cisco Talos. Alternativamente, UAT-11795 se ha vinculado al despliegue de CastleStealer y Remcos RAT. El malware está diseñado para atacar las credenciales de las víctimas y los activos de billeteras de criptomonedas, recopilar información de Active Directory y establecer una conexión persistente a las máquinas de las víctimas desde el servidor C2, probablemente con el objetivo de entregar y ejecutar más cargas útiles. La mayoría de las infecciones se producen en Estados Unidos, con menos impactos potenciales registrados en Alemania, Rumania y Venezuela. La cadena de ataque utiliza señuelos ClickFix para distribuir scripts HTA, que luego descargan y ejecutan instaladores troyanizados para entregar Starland RAT, que luego usa “curl.exe” para ejecutar un escenario de PowerShell para descifrar y ejecutar el agente WLDR. En las últimas semanas, ClickFix también ha servido como conducto para TELEPUZ, un malware modular, y ClickLock Stealer, un ladrón de billeteras de criptomonedas e información centrado en macOS dirigido a usuarios de Europa, América del Norte y MEA. “ClickLock Stealer apunta a datos de 8 navegadores, 31 extensiones de navegador de billetera criptográfica, 7 extensiones de administrador de contraseñas, 8 aplicaciones de billetera de escritorio, extrae direcciones de blockchain en 6 cadenas, llavero macOS, historial de shell y credenciales FTP”, dijo Group-IB.

  3. Red cifrada en cuestión de horas

    Una empresa de servicios de TI en el sur de Asia fue atacada por una familia de ransomware previamente indocumentada llamada Spirals en junio de 2026. “La carga útil basada en Rust es una nueva amenaza de ransomware o una diseñada específicamente para este ataque”, dijeron Symantec y Carbon Black Threat Hunter Team de Broadcom. “Menos de 24 horas después de la infracción inicial, la carga útil del ransomware estaba siendo enviada a las máquinas de la red”. Se dice que el atacante obtuvo acceso inicial comprometiendo un servidor web IIS con acceso a Internet y cargando un shell web ASP.NET. Durante las siguientes tres horas, establecieron un acceso persistente, realizaron reconocimientos, desinstalaron el software de seguridad de endpoints, descartaron la colmena del Administrador de cuentas de seguridad (SAM) y configuraron un acceso remoto encubierto antes de implementar la carga útil en la red utilizando PsExec. La nota de rescate busca ejercer presión amenazando con publicar datos robados después de seis días si no se paga el rescate y dirige a las víctimas a un portal Tor para negociar. Se desconoce el autor del ataque.

  4. Defectos explotados activamente

    La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó CVE-2026-46817, una vulnerabilidad de administración de privilegios inadecuada en Oracle E-Business Suite, y CVE-2023-4346, una vulnerabilidad de mecanismo de bloqueo de cuenta demasiado restrictiva en la Opción 1 de autorización de conexión del protocolo KNX de la Asociación KNX, a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que requiere que las agencias federales apliquen las correcciones antes del 18 de julio. 29 de 2026, respectivamente. A finales del mes pasado surgieron informes sobre la explotación activa de CVE-2026-46817. Actualmente no se sabe cómo se está abusando del fallo del protocolo KNX y quién lo hace.

  5. Nuevas reglas para los informes de vulnerabilidad

    CISA, en asociación con la Agencia de Seguridad Nacional (NSA), el Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Japón (JPCERT/CC), el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC-UK), ha publicado una guía conjunta para “ayudar a los fabricantes de software y proveedores de servicios en línea a colaborar eficazmente con investigadores de seguridad que identifican debilidades en software, redes y hardware en un marco estructurado y transparente”. La agencia dijo que un “programa coordinado de divulgación de vulnerabilidades (CVD) bien definido permite a los fabricantes de software y proveedores de servicios en línea evaluar mejor el riesgo potencial, mejorar sus procesos de gestión de vulnerabilidades y tomar decisiones informadas que mejoren la seguridad de los productos para sus clientes”.

  6. Desmantelada una red de estafas de 700 personas

    Las autoridades de los Países Bajos arrestaron a un hombre de 46 años con ciudadanía israelí y polaca, presuntamente detrás de una organización criminal internacional con más de 700 empleados que trabajaban en unos 20 centros de llamadas fraudulentos. Estas personas se hicieron pasar por asesores financieros para realizar fraudes en inversiones. “Al mantener un contacto regular, a veces durante meses, estos estafadores construyen un vínculo de confianza con sus víctimas”, afirmó la policía holandesa. “El depósito inicial es siempre una cantidad relativamente pequeña que produce una ganancia inmediata. La plataforma en línea donde las víctimas pueden ver sus inversiones es indistinguible de la real, pero en realidad no se realizan inversiones reales. Los estafadores utilizan un enfoque amigable y tácticas astutas para manipular a las víctimas para que depositen sumas cada vez mayores. El dinero (a menudo criptomonedas) que las víctimas creen que están invirtiendo termina en los bolsillos de los estafadores”. La operación se ha saldado también con la detención de cuatro “asesores financieros”.

  7. Red de fraude de 140 millones de euros interrumpida

    La Policía Nacional española ha desmantelado una red de ciberdelincuencia acusada de robar y blanquear alrededor de 140 millones de euros a través de plataformas de inversión falsas, fraude de directores ejecutivos, fraude de facturas y ataques de adversarios intermedios en toda Europa. Cuatro personas han sido detenidas en relación con la operación: dos en Portugal, una en España y una en Panamá. “Los sospechosos establecieron y administraron una red de más de 800 cuentas bancarias para recibir sumas sustanciales de dinero ilícito estafadas de numerosas víctimas; estos fondos fueron inmediatamente dispersados ​​y ocultos a través de otra red de cuentas, creando una cadena de transacciones que salvaguardaron los ingresos criminales y permitieron que grandes cantidades de dinero defraudado fueran ocultadas y blanqueadas a través de cuentas de ‘mulas de dinero’ en terceros países”, dijo la policía. “Para crear el complejo entramado de cuentas utilizadas para el blanqueo de capitales, el grupo utilizó una extensa red de mulas de dinero -ciudadanos europeos llegados a España procedentes de otros países- para montar empresas y posteriormente abrir cuentas bancarias en todo el territorio español.”

  8. Los enlaces de enlace de Windows evaden EDR

    Bitdefender Labs ha demostrado tres técnicas de ataque en las que los enlaces de enlace de Windows pueden usarse indebidamente para evadir los productos de respuesta y detección de endpoints (EDR). “Windows incluye una característica de virtualización del sistema de archivos que puede redirigir una ruta local a otra sin modificar el archivo original o dejar un artefacto persistente en el sistema de archivos”, dijo Martin Zugec de Bitdefender. “Se implementa mediante bindflt.sys, el controlador del minifiltro Bind Filter, y se utiliza legítimamente en aplicaciones de la Tienda, Windows Sandbox y contenedores de Windows”. Un atacante que se ejecute como administrador local puede aprovechar las técnicas para evitar los sensores EDR y las defensas integradas de Windows, como AMSI y AppLocker. Las técnicas incluyen: vinculación de archivos, vinculación de procesos y vinculación de silos, cada una de las cuales oculta una ruta de archivo o DLL confiable, una ruta ejecutable confiable y un silo de Windows definido por el usuario. Microsoft ha evaluado los hallazgos como de baja gravedad porque requiere acceso de administrador.

  9. 290 repositorios falsos propagan información robada

    Un actor de amenazas con motivación financiera ha creado más de 290 repositorios falsos de GitHub haciéndose pasar por proveedores confiables de software y herramientas de seguridad, incluido Arctic Wolf, para distribuir un ladrón de información de Windows que comparte la misma base de código que BoryptGrab. Los 292 repositorios suplantados abarcan herramientas de seguridad, fintech y finanzas personales, billeteras e intercambios de criptomonedas, herramientas de desarrollo y productividad, proveedores de correo electrónico seguro, utilidades macOS y software de juegos. “La carga útil es un robo de información en memoria puro, con una tabla de rutas de billetera de criptomonedas de 41 entradas y más de 19 nombres de navegadores específicos para una recopilación de credenciales amplia y financieramente impulsada”, dijo Arctic Wolf. “Los datos robados se empaquetan en un archivo ZIP y se filtran a un C2 con una IP residente en Rusia, en un proveedor de alojamiento asociado repetidamente con operaciones de malware”. El malware no configura la persistencia en el host y, en cambio, está diseñado para recopilar la mayor cantidad de datos posible en una sola ejecución. Se dice que la campaña de robo de marca es obra de un operador de habla rusa.

  10. Acusación de 62 millones de dólares por cibercrimen

    El Departamento de Justicia de EE. UU. ha hecho pública una acusación formal de diciembre de 2024 que acusa a tres ciudadanos rusos y dos empresas de hosting a prueba de balas relacionadas por su papel en delitos cibernéticos contra víctimas estadounidenses, lo que provocó pérdidas por decenas de millones de dólares. Los cargos se dirigen contra Alexander Alexandrovich Volosovik, Kirill Andreevich Zatolokin, Yulia Vladimirovna Pankova, Media Land LLC y ML.Cloud LLC. Al mismo tiempo, el programa Recompensas por la Justicia (RFJ) del Departamento de Estado de EE. UU. ha anunciado que ofrece una recompensa de hasta 10 millones de dólares y una posible reubicación por información procesable sobre asociados de Pankova, Volosovik y Zatolokin vinculados a gobiernos extranjeros, sus actividades cibernéticas maliciosas o el uso de Media Land o ML.Cloud vinculado a gobiernos extranjeros. Los acusados ​​y las empresas fueron sancionados por Estados Unidos, el Reino Unido y Australia en noviembre de 2025. A principios de esta semana, el Consejo de la Unión Europea también impuso sanciones contra Media Land, ML.Cloud y Volosovik, como parte del primer paquete conjunto de cibersanciones emitido contra Rusia en colaboración con el Reino Unido.

  11. Chrome Sync se convierte en software espía

    Los acosadores están utilizando indebidamente una técnica legítima de sincronización de Chrome destinada a la comodidad del usuario para obtener un amplio acceso a la información privada del propietario del dispositivo. “La función de sincronización de Chrome existe para hacer la vida más fácil”, dijo Certo. “Inicie sesión con una cuenta de Google y Chrome mantendrá sus marcadores, pestañas abiertas, historial de navegación, datos de autocompletar y contraseñas guardadas en cada dispositivo que use: su teléfono, tableta, computadora portátil, cualquier dispositivo en el que haya iniciado sesión”. Sin embargo, esto puede convertirse en una herramienta de vigilancia con un simple paso. Todo lo que un intruso digital tiene que hacer es obtener un breve acceso físico al teléfono de la víctima, abrir la aplicación Chrome y agregar una cuenta de Google bajo su control, y asegurarse de que la sincronización esté activada para esa cuenta. “La víctima sigue usando su teléfono con normalidad”, explicó Certo. “A partir de este punto, su actividad de navegación se copia en segundo plano en la cuenta de Google del atacante. El atacante abre la misma cuenta de Google en su propio dispositivo y revisa el historial de navegación de la víctima cuando lo desea, desde cualquier lugar con conexión a Internet”.

  12. Las tarjetas electrónicas ofrecen acceso remoto

    Se ha observado que una campaña de phishing sostenida denominada SeasonalInvite implementa y abusa de herramientas comerciales de administración y monitoreo remoto (RMM) desde al menos enero de 2026 al hacer uso de temas de ingeniería social vinculados al calendario estacional en ataques dirigidos a usuarios de Windows y macOS. Los ataques implican el abuso de ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya y O&O Syspectr. Es probable que las páginas falsas se distribuyan a través de correos electrónicos de phishing y resultados de búsqueda envenenados. Forescout dijo que identificó 959 dominios con temas de tarjetas electrónicas y un sistema de distribución de tráfico (TDS) que utiliza 2.658 páginas de acceso para dirigir a las víctimas a páginas de phishing mientras bloquea los escáneres de seguridad automatizados. “Las páginas de phishing son generadas por un kit y contienen indicadores de código probablemente generado por IA, lo que sugiere que el actor de la amenaza utilizó un modelo de lenguaje grande (LLM) para ensamblar páginas de entrega y reestructurar rápidamente la campaña”, señaló.

  13. Los códigos OAuth evitan las defensas de MFA

    Investigadores de ciberseguridad han identificado un nuevo conjunto de herramientas de phishing de códigos de dispositivos impulsado por inteligencia artificial llamado Jalisco, junto con un recolector de credenciales con nombre en código OmegaLord que captura números de teléfono junto con contraseñas para interceptar códigos de autenticación multifactor (MFA). “Jalisco es un conjunto de herramientas de phishing de código de dispositivo que proporciona códigos OAuth nuevos en tiempo real, derrotando los controles basados ​​en el tiempo en los que confían los defensores y emparejándose naturalmente con kits impulsados ​​por IA como ‘EvilTokens'”, dijo ReliaQuest. “OmegaLord, por el contrario, es un recolector de credenciales basado en JavaScript que se hace pasar por un lector de PDF y recopila números de teléfono junto con las credenciales, un paso deliberado hacia la interceptación o el secuestro de MFA”. El desarrollo se produce en medio de un aumento de los ataques de phishing de códigos de dispositivos en 2026 que emplean herramientas especialmente diseñadas para ejecutar este tipo de campañas a escala. “Una vez dentro de una cuenta de Microsoft 365 comprometida, los atacantes establecen persistencia al emparejar múltiples dispositivos controlados por el atacante con el inquilino Entra ID de la víctima, luego actúan rápidamente para exfiltrar datos confidenciales de las plataformas de software como servicio (SaaS) para extorsión”, agregó la compañía. En algunos casos, se ha observado que los actores de amenazas registran más de cinco dispositivos en una sola cuenta comprometida en un intento de ampliar la ventana de exfiltración.

  14. 3.900 servidores de amenazas mapeados

    Un nuevo análisis de Hunt.io ha descubierto más de 3900 actividades de amenazas que habilitan servidores en 302 proveedores de infraestructura de Europa del Este en los últimos 3 meses. “Keitaro lidera la habilitación de actividades de amenazas en Europa del Este con 1.277 actividades de amenazas únicas que habilitan IP, seguido de Tactical RMM (232) y Acunetix (173)”, dijo la compañía de inteligencia de amenazas. “La infraestructura Cloud Atlas APT se observó en múltiples proveedores de Europa del Este, lo que confirma la dependencia continua del grupo en el alojamiento de Europa del Este. Proton66 OOO se vinculó a la explotación activa de CVE-2026-35273, un día cero crítico de Oracle PeopleSoft atribuido al grupo ShinyHunters, con actividad de amenazas que permite que la infraestructura se pueda rastrear directamente hasta este proveedor ruso”.

  15. Una infección, dos fuentes de ingresos

    Se ha observado una campaña con motivación financiera que entrega el ladrón Vidar y el minero de criptomonedas XMRig a consumidores y víctimas de pequeñas y medianas empresas en todo el mundo. La campaña fue detectada en abril de 2026. “Los atacantes atraen a las víctimas mediante publicidad maliciosa a páginas para descargar archivos que se hacen pasar por versiones descifradas de software protegido por derechos de autor”, dijo la Unidad 42 de Palo Alto Networks. “Tras la ejecución, el cargador suelta y ejecuta tanto Vidar Stealer como XMRig. Vidar Stealer apunta a información como credenciales del navegador, cookies y billeteras criptográficas. XMRig extrae la criptomoneda Monero”. Los binarios del cargador utilizan el marco Factory-v3, que se refiere a un malware como servicio (constructor MaaS0 utilizado para diferentes familias de malware ladrón). “La etiqueta X3D MINER aparece en las notificaciones del operador de Telegram enviadas para cada nueva infección de víctima”, agregó la Unidad 42. “El operador detrás de esta campaña ejecuta un esquema de monetización dual. Los delincuentes venden credenciales y cookies de sesión robadas por el ladrón de Vidar en los mercados de registros criminales, mientras que XMRig proporciona ingresos pasivos de los ciclos de CPU de las víctimas secuestradas”.

La lección no es “no confiar en nada”. Es dejar de otorgar confianza de forma masiva. Consulta el repositorio, el instalador, la cuenta, el servicio expuesto. Los pequeños atajos siguen convirtiéndose en rutas de ataque completas.

LEER  El ataque TrapDoor a la cadena de suministro propaga malware de robo de credenciales a través de npm, PyPI y CratesIO

Y cuando un error parece viejo, incómodo o demasiado simple para importar, supongamos que alguien ya le ha encontrado un uso. Parchea las cosas aburridas. Apretar los valores predeterminados. Mira los traspasos.

- Advertisement -spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Últimos artículos

Cómo conseguir y cultivar mineral en Palworld

Cuando llegas a cierto punto en mundo palnecesitarás muchos mineral para hacer lingotes. Si bien los depósitos de mineral...

Noticias relacionadas

- Advertisement -spot_img