Resumen Semanal de los ciberataques 15-21 Jan
VoidLink: la prueba de que ha comenzado la era del malware avanzado generado por IA
Se ha revelado lo que se considera el primer caso claramente documentado de un marco de malware muy sofisticado desarrollado principalmente mediante inteligencia artificial, conocido como VoidLink. Los investigadores afirman que VoidLink marca un punto de inflexión en la evolución del desarrollo malicioso, ya que demuestra cómo la IA puede acelerar considerablemente la creación de herramientas ofensivas avanzadas cuando la utiliza una persona capacitada, en lugar de actores sin experiencia o autores de malware común. VoidLink llamó inicialmente la atención por su gran madurez técnica, su diseño modular y su modelo operativo flexible, que incluye compatibilidad con tecnologías como eBPF, rootkits de módulos del kernel de Linux (LKM), capacidades de enumeración en la nube y módulos de postexplotación para entornos contenedorizados. El marco evolucionó rápidamente desde lo que parecía ser una versión en desarrollo hasta convertirse en una plataforma de malware completa y extensible, con infraestructura de mando y control y múltiples componentes funcionales.
Análisis de la campaña Evelyn Stealer dirigida a desarrolladores de software
Se ha publicado un análisis en profundidad de una campaña de malware activa dirigida a desarrolladores de software a través de extensiones de Visual Studio Code (VSC) convertidas en armas, que distribuyen un ladrón de información de varias etapas conocido como Evelyn Stealer. La campaña abusa del ecosistema de extensiones de confianza de VSC para obtener la ejecución inicial en los sistemas de los desarrolladores, donde una extensión maliciosa descarga una DLL de primera fase que se hace pasar por un componente legítimo de Lightshot. Esta DLL es cargada por el ejecutable genuino de Lightshot y ejecuta inmediatamente un comando PowerShell oculto para descargar y ejecutar un payload de segunda fase. El descargador implementa un control de ejecución basado en mutex y exporta funciones de aspecto legítimo para evitar sospechas. El payload de segunda etapa actúa como un inyector de vaciado de procesos que descifra e inyecta el payload final de Evelyn Stealer en un proceso legítimo de Windows, grpconv.exe, utilizando el cifrado AES-256-CBC.
5 extensiones maliciosas de Chrome permiten el secuestro de sesiones en sistemas ERP y de RR. HH. empresariales
Investigadores de ciberseguridad han revelado una campaña coordinada que involucraba cinco extensiones maliciosas de Google Chrome diseñadas para permitir el secuestro de sesiones y suprimir los controles de seguridad en las plataformas de recursos humanos y ERP de las empresas. Las extensiones, instaladas colectivamente por más de 2300 usuarios, funcionan de manera complementaria para extraer cookies de autenticación, bloquear el acceso a interfaces administrativas y de respuesta a incidentes, y secuestrar directamente sesiones autenticadas. Cuatro de las extensiones se publican bajo la misma identidad de desarrollador, databycloud1104, mientras que la quinta utiliza una marca independiente bajo "Software Access", pero todas comparten patrones de infraestructura, rutas API, estructuras de código y lógica de detección de herramientas de seguridad idénticos, lo que indica una única operación coordinada en lugar de una actividad independiente.
Técnicas anti-análisis no documentadas en el spyware para iOS "Predator"
La investigación sobre el software espía comercial Predator ha revelado técnicas de análisis y notificación de errores no documentadas anteriormente integradas en su implante iOS. Predator, desarrollado por Intellexa y observado en campañas de espionaje móvil, va más allá del sigilo básico: cuando su implementación falla en un dispositivo objetivo, no se detiene simplemente, sino que envía códigos de error detallados a una infraestructura de comando y control (C2) que describen exactamente por qué se abortó el intento, como la presencia de herramientas de seguridad, proxies HTTP u otras condiciones ambientales hostiles en el dispositivo. Esta taxonomía de diagnóstico convierte cada intrusión fallida en información útil para el operador, lo que puede aumentar el éxito de futuras campañas. La investigación muestra que estos códigos de error forman parte de un sistema anti-análisis más amplio que ayuda a Predator a reconocer cuándo está siendo observado o frustrado por herramientas defensivas, incluidas algunas utilidades de seguridad o depuración.
Un ciberataque obliga a un hospital belga a trasladar a pacientes en cuidados intensivos
Un ciberataque que afectó a un importante grupo hospitalario de Bélgica provocó una grave interrupción de las operaciones sanitarias y obligó a trasladar a pacientes críticos a otros centros médicos. El incidente, descrito posteriormente por las autoridades y los medios de comunicación locales como un ataque de ransomware, llevó al hospital a cerrar de forma proactiva todos los sistemas informáticos y servidores de sus campus como medida de precaución para contener la amenaza y evitar el posible compromiso de los datos de los pacientes. Como consecuencia directa del cierre, se cancelaron todas las cirugías programadas, el servicio de urgencias comenzó a funcionar a capacidad reducida y los servicios móviles de emergencia quedaron temporalmente inoperativos.
