Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva campaña de publicidad maliciosa que distribuye PikaBot disfrazado de software popular
  • Tecnología

Nueva campaña de publicidad maliciosa que distribuye PikaBot disfrazado de software popular

teknomers 20 de Aralık de 2023 (Last updated: 20 de Aralık de 2023) 5 minutes read
Nueva campaña de publicidad maliciosa que distribuye PikaBot disfrazado de


19 de diciembre de 2023Sala de redacciónPublicidad maliciosa/seguridad del navegador

El cargador de malware conocido como PikaBot se distribuye como parte de una campaña de publicidad maliciosa dirigida a usuarios que buscan software legítimo como AnyDesk.

“Anteriormente, PikaBot solo se distribuía a través de campañas de malspam de manera similar a QakBot y surgió como una de las cargas útiles preferidas para un actor de amenazas conocido como TA577”, Jérôme Segura de Malwarebytes. dicho.

La familia de malware, que primero apareció a principios de 2023, consta de un cargador y un módulo central que le permite funcionar como puerta trasera y distribuidor de otras cargas útiles.

Esto permite a los actores de amenazas obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de comando y control (C2), que van desde shellcode arbitrario, DLL o archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike.

PRÓXIMO SEMINARIO WEB

Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad

Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.

Únete ahora

Uno de los actores de amenazas que aprovecha PikaBot en sus ataques es TA577un prolífico actor de amenazas de delitos cibernéticos que, en el pasado, entregó QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike.

El mes pasado, se supo que PikaBot, junto con DarkGate, se está propagando a través de campañas de malspam que reflejan la de QakBot. “La infección por Pikabot provocó el ataque de Cobalt en 207.246.99[.]159:443 usando masterunis[.]net como su dominio”, Unidad 42 de Palo Alto Networks revelado recientemente.

El último vector de infección inicial es un anuncio malicioso de Google para AnyDesk que, cuando una víctima hace clic en la página de resultados de búsqueda, redirige a un sitio web falso llamado anadesky.ovmv.[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.

Vale la pena señalar que la redirección al sitio web falso sólo se produce después de tomar la huella digital de la solicitud, y sólo si no se origina en una máquina virtual.

“Los actores de amenazas están eludiendo los controles de seguridad de Google con una URL de seguimiento a través de una plataforma de marketing legítima para redirigir a su dominio personalizado detrás de Cloudflare”, explicó Segura. “En este punto, sólo las direcciones IP limpias se reenvían al siguiente paso”.

Curiosamente, se lleva a cabo una segunda ronda de toma de huellas digitales cuando la víctima hace clic en el botón de descarga del sitio web, probablemente en un intento adicional de garantizar que no sea accesible en un entorno virtualizado.

Malwarebytes dijo que los ataques recuerdan a cadenas de publicidad maliciosa previamente identificadas y empleadas para difundir otro cargador de malware conocido como FakeBat (también conocido como EugenLoader).

Campaña de publicidad maliciosa

“Esto es particularmente interesante porque apunta hacia un proceso común utilizado por diferentes actores de amenazas”, dijo Segura. “Quizás esto sea algo parecido a la ‘publicidad maliciosa como servicio’ en la que se proporcionan anuncios de Google y páginas señuelo a los distribuidores de malware”.

Esta divulgación se produce cuando la compañía de ciberseguridad dijo que detectó un aumento en anuncios maliciosos a través de búsquedas en Google de software popular como Zoom, Advanced IP Scanner y WinSCP para ofrecer un cargador nunca antes visto llamado HiroshimaNukes, así como FakeBat.

“Utiliza varias técnicas para evitar la detección desde la carga lateral de DLL hasta cargas útiles muy grandes”, Segura dicho. “Su objetivo es eliminar malware adicional, normalmente un ladrón seguido de una filtración de datos”.

La seguridad cibernética

El aumento de la publicidad maliciosa es indicativo de cómo los ataques basados ​​en navegadores actúan como canales para infiltrarse en las redes objetivo. Esto también incluye un nuevo marco de extensión de Google Chrome con nombre en código ParaSiteSnatcher, que permite a los actores de amenazas “monitorear, manipular y extraer información altamente confidencial de múltiples fuentes”.

Diseñada específicamente para comprometer a los usuarios en América Latina, la extensión maliciosa se destaca por su uso de la API del navegador Chrome para interceptar y filtrar todas las solicitudes POST que contienen información confidencial de cuentas y financiera. Se descarga a través de un descargador de VBScript alojado en Dropbox y Google Cloud y se instala en un sistema infectado.

“Una vez instalada, la extensión se manifiesta con la ayuda de amplios permisos habilitados a través de la extensión de Chrome, lo que le permite manipular sesiones web, solicitudes web y realizar un seguimiento de las interacciones del usuario en múltiples pestañas utilizando la API de pestañas de Chrome”, Trend Micro dicho el mes pasado.

“El malware incluye varios componentes que facilitan su funcionamiento, scripts de contenido que permiten la inyección de código malicioso en páginas web, monitorean pestañas de Chrome e interceptan la entrada del usuario y la comunicación del navegador web”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Quiénes son los hutíes y por qué se unen a la guerra en la Franja de Gaza?
Next: El Alba Berlín da un golpe sorpresa al Barcelona

Related Stories

Una falsa herramienta de análisis DNS propaga un malware a
  • Tecnología

Una falsa herramienta de análisis DNS propaga un malware a través de 222 repositorios de GitHub

teknomers 11 de Temmuz de 2026
Amazon tiene un descuento del 30% en este aspirador escoba
  • Tecnología

Amazon tiene un descuento del 30% en este aspirador escoba lavador Dreame con una ficha técnica impresionante.

teknomers 11 de Temmuz de 2026
Bruselas sancionará los coches estacionados en las estaciones de carga
  • Tecnología

Bruselas sancionará los coches estacionados en las estaciones de carga eléctrica

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Finanzas

«Transmitir el mensaje sin estropear la fiesta»: en la caravana del Tour de Francia, la CGT se pone la camiseta de mediador

teknomers 11 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: el clasificado de la 8ª etapa ganada nuevamente por Tim Merlier

teknomers 11 de Temmuz de 2026
  • Cultura

«Las sensaciones son increíbles»: probamos la nueva caída libre de 60 metros en el parque Saint-Paul

teknomers 11 de Temmuz de 2026
  • General

Antes de desechar tus viejos jeans, los expertos en limpieza sugieren que pruebes estos consejos y trucos para convertirlos en elementos esenciales del hogar – hacks de vida sobre cómo reutilizar jeans de mezclilla.

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.