Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers aprovechan los túneles de Cloudflare y DNS Fast-Flux para ocultar el malware GammaDrop
  • Tecnología

Hackers aprovechan los túneles de Cloudflare y DNS Fast-Flux para ocultar el malware GammaDrop

teknomers 6 de Aralık de 2024 (Last updated: 6 de Aralık de 2024) 5 minutes read
Hackers aprovechan los túneles de Cloudflare y DNS Fast-Flux para


06 de diciembre de 2024Las noticias de los piratas informáticosInteligencia de amenazas/malware

Se ha observado que el actor de amenazas conocido como Gamaredon aprovecha Cloudflare Tunnels como táctica para ocultar su infraestructura de prueba que alberga un malware llamado GammaDrop.

La actividad es parte de una campaña de phishing dirigida a entidades ucranianas desde al menos principios de 2024 y que está diseñada para eliminar el malware Visual Basic Script, dijo Insikt Group de Recorded Future en un nuevo análisis.

La empresa de ciberseguridad está rastreando al actor de amenazas con el nombre de BlueAlpha, que también se conoce como Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 y Winterflounder. El grupo, que se cree que está activo desde 2014, está afiliado al Servicio Federal de Seguridad (FSB) de Rusia.

“BlueAlpha ha comenzado recientemente a utilizar Cloudflare Tunnels para ocultar la infraestructura de prueba utilizada por GammaDrop, una técnica cada vez más popular utilizada por grupos de amenazas cibercriminales para implementar malware”, Insikt Group anotado.

Ciberseguridad

“BlueAlpha continúa utilizando el sistema de nombres de dominio (DNS) de flujo rápido de la infraestructura de comando y control (C2) de GammaLoad para complicar el seguimiento y la interrupción de las comunicaciones C2 para preservar el acceso a los sistemas comprometidos”.

El uso del túnel Cloudflare por parte del adversario fue previamente documentado por la empresa eslovaca de ciberseguridad ESET en septiembre de 2024, como parte de ataques dirigidos a Ucrania y varios países de la OTAN, a saber, Bulgaria, Letonia, Lituania y Polonia.

También caracterizó el oficio del actor de amenazas como imprudente y no particularmente centrado en el sigilo, a pesar de que se esfuerzan por “evitar ser bloqueados por productos de seguridad y se esfuerzan mucho por mantener el acceso a los sistemas comprometidos”.

“Gamaredon intenta preservar su acceso implementando múltiples descargadores simples o puertas traseras simultáneamente”, agregó ESET. “La falta de sofisticación de las herramientas de Gamaredon se compensa con actualizaciones frecuentes y el uso de ofuscaciones que cambian periódicamente”.

Las herramientas están diseñadas principalmente para robar datos valiosos de aplicaciones web que se ejecutan en navegadores de Internet, clientes de correo electrónico y aplicaciones de mensajería instantánea como Signal y Telegram, así como descargar cargas útiles adicionales y propagar el malware a través de unidades USB conectadas.

  • PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk y PteroPowder: descargar cargas útiles
  • PteroCDrop: soltar cargas útiles de Visual Basic Script
  • PteroClone: ​​entregue cargas útiles utilizando la utilidad rclone
  • PteroLNK – Armar unidades USB conectadas
  • PteroDig – Arma archivos LNK en la carpeta Escritorio para persistencia
  • PteroSocks: proporciona funcionalidad de proxy SOCKS parcial
  • PteroPShell, ReVBShell: funciona como un shell remoto
  • PteroPSDoor, PteroVDoor: extrae archivos específicos del sistema de archivos
  • PteroScreen: captura y extrae capturas de pantalla
  • PteroSteal: extrae las credenciales almacenadas por los navegadores web
  • PteroCookie: extrae las cookies almacenadas por los navegadores web
  • PteroSig: extrae datos almacenados por la aplicación Signal
  • PteroGram: extrae datos almacenados por la aplicación Telegram
  • PteroBleed: extrae datos almacenados por versiones web de Telegram y WhatsApp de Google Chrome, Microsoft Edge y Opera
  • PteroScout – Información del sistema de exfiltración

El último conjunto de ataques destacados por Recorded Future implica el envío de correos electrónicos de phishing con archivos adjuntos HTML, que aprovechan una técnica llamada contrabando de HTML para activar el proceso de infección a través de código JavaScript incrustado.

Ciberseguridad

Los archivos adjuntos HTML, cuando se abren, sueltan un archivo 7-Zip (“56-27-11875.rar”) que incluye un archivo LNK malicioso, que utiliza mshta.exe para entregar GammaDrop, un gotero HTA responsable de escribir en el disco. un cargador personalizado llamado GammaLoad, que posteriormente establece contacto con un servidor C2 para recuperar malware adicional.

El artefacto GammaDrop se recupera de un servidor provisional que se encuentra detrás de un túnel de Cloudflare alojado en el dominio amsterdam-sheet-veteran-aka.trycloudflare.[.]com.

Por su parte, GammaLoad hace uso de proveedores de DNS sobre HTTPS (DoH) como Google y Cloudflare para resolver la infraestructura C2 cuando falla el DNS tradicional. También emplea una técnica DNS de flujo rápido para recuperar la dirección C2 si falla el primer intento de comunicarse con el servidor.

“Es probable que BlueAlpha continúe perfeccionando las técnicas de evasión aprovechando servicios legítimos y ampliamente utilizados como Cloudflare, complicando la detección de los sistemas de seguridad tradicionales”, dijo Recorded Future.

“Las mejoras continuas en el contrabando de HTML y la persistencia basada en DNS probablemente plantearán desafíos en evolución, especialmente para las organizaciones con capacidades limitadas de detección de amenazas”.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El joven del Bayern despierta interés en Italia
Next: 🔴 Blog en vivo | Fuertes ráfagas de viento azotan la provincia, especialmente en la costa y en la zona de Wadden

Related Stories

Topolino, TRIS y el sorprendente Multiplina: FIAT presenta sus tres
  • Tecnología

Topolino, TRIS y el sorprendente Multiplina: FIAT presenta sus tres estrellas de la micromobilidad eléctrica

teknomers 1 de Temmuz de 2026
Orange fuera de servicio por segunda vez en tres días,
  • Tecnología

Orange fuera de servicio por segunda vez en tres días, los abonados nuevamente sin red

teknomers 1 de Temmuz de 2026
Bitpanda Fusion 2.0: la nueva plataforma para los traders
  • Tecnología

Bitpanda Fusion 2.0: la nueva plataforma para los traders

teknomers 1 de Temmuz de 2026

You May Have Missed

  • Deporte

Alyssa Thomas: El incidente con Caitlin Clark ha llevado a amenazas de muerte

teknomers 1 de Temmuz de 2026
  • General

Los recortes de Volkswagen son un ‘llamado de atención’ para la industria europea, dice un asesor de BYD

teknomers 1 de Temmuz de 2026
  • General

Polonia renuncia a entregar sus últimos MiG-29 a Ucrania por falta de acuerdo sobre los drones

teknomers 1 de Temmuz de 2026
  • Finanzas

Para salvar su hilandería de l’Eure, la cooperativa Natup lanza « una marca francesa asequible del agricultor a la confección »

teknomers 1 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.