Autor: Seguridad CSIRT-CV

El equipo de CND del CSIRT-CV ha detectado en varios equipos del ámbito de la Generalitat Valenciana una nueva estafa que podría infectar los equipos de los usuarios en el caso de que se siguieran las indicaciones dadas por el captcha falso.

La estafa se inicia al acceder a una página web legítima. Al navegar por la web, previamente comprometida, salta una ventana emergente con el captcha, en la cual se solicita abrir la barra de comandos presionando Win+R + Ctrl+V y darle al Enter para ejecutar el comando malicioso. En este momento es cuando se inicia el engaño.

• Una vez ejecutado el comando, te redirige a un sitio web malicioso para infectar el equipo con código malicioso.

  Mediante esta infección del equipo, el ciberdelincuente podría robar información privada, como credenciales de inicio de sesión o escalado de privilegios, por lo que estaría en riesgo la seguridad y privacidad del usuario.  

  Recomendaciones a tener en cuenta:

  • Mantener actualizado el software de seguridad: Asegúrate de tener un antivirus actualizado y los sistemas operativos al día para detectar y bloquear amenazas.
  • Evitar ejecutar comandos desconocidos: No ejecutes comandos proporcionados en páginas web o correos sospechosos, incluso si parecen parte de un captcha.
  • Verificar la autenticidad de los sitios web: Antes de interactuar con cualquier página, asegúrate de que sea legítima y que tenga una conexión segura (https://).
  • Usar contraseñas fuertes y autenticación en dos pasos: Protege tus cuentas con contraseñas robustas y habilita la autenticación en dos pasos siempre que sea posible.

  Si te encuentras ante un  caso en el que te soliciten ejecutar un comando directamente en tu equipo, notifícalo a CSIRT-CV a través del siguiente formulario de incidentes.

En un contexto donde las criptomonedas están ganando popularidad, los ciberdelincuentes continúan buscando nuevas formas de robar fondos digitales. El último malware descubierto, denominado “Cross-Platform JavaScript Stealer”, está diseñado para robar las claves privadas y credenciales de las billeteras de criptomonedas, lo que pone en peligro los fondos de miles de usuarios. La amenaza ha sido reportada por el medio de comunicación Security Affairs.

Este malware es una de las amenazas más sofisticadas de los últimos tiempos debido a su capacidad para operar en múltiples sistemas operativos, incluyendo Windows y macOS. Al infiltrarse en los dispositivos, a través de enlaces maliciosos o sitios web comprometidos, el “Cross-Platform JavaScript Stealer” se descarga en el sistema en forma de un archivo JavaScript que, una vez ejecutado, roba las credenciales de las billeteras de criptomonedas.

En muchos casos, las claves privadas almacenadas en navegadores y aplicaciones de criptomonedas son las principales víctimas de este ataque, lo que permite a los ciberdelincuentes tomar el control de las cuentas y robar fondos sin que los usuarios se den cuenta.

Una de las características más alarmantes de este malware es su capacidad para evadir la detección. Utiliza técnicas avanzadas para ocultarse y acumular datos robados de manera progresiva, lo que aumenta su persistencia y la dificultad de detectarlo. Esto significa que los usuarios pueden no darse cuenta de que sus dispositivos han sido comprometidos hasta que es demasiado tarde.

Los ciberdelincuentes detrás de este ataque distribuyen el malware a través de enlaces maliciosos en correos electrónicos, mensajes de texto o redes sociales, lo que hace que el riesgo de infección sea elevado si no se toman las precauciones necesarias, ya que al acceder a sitios web no verificados o hacer clic en enlaces sospechosos, los usuarios pueden descargar el malware en su dispositivo sin darse cuenta.

Recomendaciones para protegerse ante el “Cross-Platform JavaScript Stealer”

Para protegerse de este tipo de amenazas relacionado con las criptomonedas existen varias medidas preventivas entre las que se destacan:

• • Mantener los sistemas operativos y aplicaciones actualizados es fundamental para protegerse de vulnerabilidades conocidas que los atacantes pueden explotar.

  • Activar la autenticación de dos factores (2FA) siempre que sea posible, ya que aporta una capa extra de seguridad, requiriendo un código adicional para acceder a las cuentas.

  • Evita hacer clic en enlaces y visitar sitios web sin asegurarse de que provengan de fuentes verificadas y confiables.

  • Hacer uso de billeteras de hardware, que almacenan las claves privadas de manera offline, lo que las hace mucho más seguras frente a este tipo de ataques. Las billeteras de hardware protegen mejor los fondos en comparación con las billeteras de software, que almacenan las claves de forma online y, por lo tanto, son más vulnerables a los ataques.

  • Realizar análisis periódicos con software antivirus confiable para detectar posibles amenazas que hayan podido infiltrarse sin ser detectadas de inmediato.

  • Estar informado sobre las últimas amenazas en el mundo de la ciberseguridad para estar mejor preparados ante cualquier eventualidad.

Según Security Affairs el sector de las criptomonedas, al ser un mercado en constante crecimiento, sigue siendo un objetivo atractivo para los ciberdelincuentes, por lo que adoptar medidas de seguridad proactivas, como las mencionadas, puede ayudar a los usuarios a minimizar los riesgos y a proteger sus activos digitales de manera efectiva.

Referencia:
https://unaaldia.hispasec.com/2025/02/nuevo-malware-cross-platform-javascript-stealer-amenaza-a-usuarios-de-criptomonedas.html

Efectivos de la Policía Nacional han detenido a un hacker que supuestamente estuvo detrás de decenas de ataques cibernéticos a organismos gubernamentales en España y Estados Unidos, incluyendo objetivos como el Ejército de EEUU, la ONU, la OTAN y otras entidades internacionales, según ha publicado el medio de comunicación Security Affairs.

El arresto tuvo lugar en la localidad de Calpe, en Alicante, tras una operación llevada a cabo por la Policía Nacional y la Guardia Civil, con el apoyo del Centro Criptológico Nacional (CCN) del Centro Nacional de Inteligencia (CNI). Durante el registro, se incautaron criptomonedas y equipos informáticos del detenido. Las autoridades le acusan de diversos delitos, como el acceso ilegal a sistemas informáticos, la divulgación de secretos, el daño a sistemas y el blanqueo de capitales.

El sospechoso, que se había atribuido públicamente la autoría de los ataques en foros de la dark web, habría accedido a servicios informáticos de entidades públicas y privadas, incluidas instituciones como la Guardia Civil, el Ministerio de Defensa, la Fábrica Nacional de La Moneda y Timbre, el Ministerio de Educación, la Generalitat Valenciana, universidades españolas, así como bases de datos de la OTAN y el Ejército de EEUU, entre otras. Los datos robados, en su mayoría personales, fueron posteriormente vendidos o divulgados en foros cibernéticos.

El hacker utilizó herramientas de mensajería y navegación anónima para ocultar su identidad, lo que dificultó la detección de sus actividades. Además, se cree que empleaba seudónimos en distintos foros para evitar ser identificado y capturado. La investigación comenzó a principios de 2024, después de que datos robados a una asociación empresarial de Madrid fueran filtrados en foros de ciberdelincuencia. En esos foros, el hacker utilizó hasta tres alias diferentes para lanzar ciberataques a una variedad de organizaciones internacionales, accediendo a bases de datos sensibles y documentos internos.

Según el comunicado de la Policía Nacional, para la captura del cibercriminal colaboraron la EUROPOL y el Departamento de Investigaciones de Seguridad Nacional (HSI) de EEUU.

Referencia: https://securityaffairs.com/173932/cyber-crime/spanish-police-arrested-notorious-hacker.html

Google y Mozilla han lanzado nuevas actualizaciones de seguridad para los navegadores Chrome y Firefox con el fin de corregir múltiples vulnerabilidades de alta gravedad relacionadas con la gestión de memoria. Entre ellas, destacan fallas del tipo use-after-free, que pueden permitir la ejecución de código malicioso, corrupción de datos o ataques de denegación de servicio. Se recomienda a los usuarios actualizar sus navegadores lo antes posible para mitigar estos riesgos.

Análisis

Las vulnerabilidades corregidas en estas actualizaciones afectan componentes críticos de ambos navegadores, exponiendo a los usuarios a posibles ataques. En Chrome, Google ha solucionado 12 vulnerabilidades, entre ellas CVE-2025-0444 y CVE-2025-0445, que son fallos use-after-free en la biblioteca gráfica Skia y el motor JavaScript V8, respectivamente. Estas fallas pueden provocar corrupción de memoria y, si se combinan con otros errores en partes privilegiadas del navegador, podrían permitir la ejecución de código malicioso o incluso eludir la protección del entorno aislado (sandbox).

Por otro lado, Firefox 135 aborda varias fallas similares, incluyendo CVE-2025-1009 y CVE-2025-1010, que son vulnerabilidades use-after-free en la Custom Highlight API y en el lenguaje de transformaciones XSLT, lo que podría permitir a atacantes ejecutar código arbitrario en el sistema de la víctima. Además, Mozilla corrigió CVE-2025-1016 y CVE-2025-1020, dos errores graves en la gestión de memoria que afectan a Firefox, Thunderbird y sus versiones de soporte extendido (ESR), y que podrían derivar en la ejecución de código malicioso. Junto con estas fallas, la actualización soluciona otros errores de gravedad media y baja que podrían facilitar ataques de suplantación de identidad (spoofing), filtraciones de privacidad y verificaciones inadecuadas de certificados.

Recursos afectados

• • • Chrome 133 en Windows, macOS y Linux
    • Firefox 135
    • Thunderbird 135
    • Firefox ESR 128.7 y 115.20

Recomendaciones

Referencias

https://www.securityweek.com/chrome-133-firefox-135-patch-high-severity-vulnerabilities/