Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos aprovechan Webview2 para implementar el malware CoinLurker y evadir la detección de seguridad
  • Tecnología

Los piratas informáticos aprovechan Webview2 para implementar el malware CoinLurker y evadir la detección de seguridad

teknomers 18 de Aralık de 2024 (Last updated: 18 de Aralık de 2024) 5 minutes read
Los piratas informáticos aprovechan Webview2 para implementar el malware CoinLurker


Los actores de amenazas están utilizando falsos señuelos de actualización de software para entregar un nuevo malware ladrón llamado CoinLurker.

“Escrito en Go, CoinLurker emplea técnicas de ofuscación y antianálisis de vanguardia, lo que lo convierte en una herramienta muy eficaz en los ciberataques modernos”, dijo el investigador de Morphisec Nadav Lorber. dicho en un informe técnico publicado el lunes.

Los ataques utilizan alertas de actualización falsas que emplean varios puntos de entrada engañosos, como notificaciones de actualización de software en sitios de WordPress comprometidos, redirecciones de publicidad maliciosa, correos electrónicos de phishing que enlazan a páginas de actualización falsas, mensajes de verificación CAPTCHA falsos, descargas directas desde sitios falsos o infectados, y enlaces compartidos a través de redes sociales y aplicaciones de mensajería.

Independientemente del método utilizado para iniciar la cadena de infección, las indicaciones de actualización de software utilizan Vista web de Microsoft Edge2 para desencadenar la ejecución de la carga útil.

Ciberseguridad

“La dependencia de Webview2 de los componentes preinstalados y la interacción del usuario complica el análisis dinámico y de espacio aislado”, dijo Lorber. “Los entornos sandbox a menudo carecen de Webview2 o no logran replicar las acciones del usuario, lo que permite que el malware evada la detección automática”.

Una de las tácticas avanzadas adoptadas en estas campañas se refiere al uso de una técnica llamada EtherHiding, en la que a los sitios comprometidos se les inyectan scripts diseñados para llegar a la infraestructura Web3 con el fin de recuperar la carga útil final de un repositorio de Bitbucket que se hace pasar por herramientas legítimas (por ejemplo, “UpdateMe.exe”, “SecurityPatch.exe”).

Estos ejecutables, a su vez, están firmados con un certificado de Validación Extendida (EV) legítimo pero robado, lo que agrega otra capa de engaño al esquema y elude las barreras de seguridad. En el paso final, se utiliza el “inyector multicapa” para implementar la carga útil en el proceso Microsoft Edge (“msedge.exe”).

CoinLurker también utiliza un diseño inteligente para ocultar sus acciones y complicar el análisis, incluida una gran ofuscación para comprobar si la máquina ya está comprometida, decodificar la carga útil directamente en la memoria durante el tiempo de ejecución y tomar medidas para ocultar la ruta de ejecución del programa mediante comprobaciones condicionales y recursos redundantes. Asignaciones y manipulaciones iterativas de memoria.

“Este enfoque garantiza que el malware eluda la detección, se mezcle perfectamente con la actividad legítima del sistema y eluda las reglas de seguridad de la red que dependen del comportamiento del proceso para el filtrado”, señaló Morphisec.

CoinLurker, una vez lanzado, inicia comunicaciones con un servidor remoto utilizando un enfoque basado en sockets y procede a recopilar datos de directorios específicos asociados con carteras de criptomonedas (es decir, Bitcoin, Ethereum, Ledger Live y Exodus), Telegram, Discord y FileZilla.

“Este escaneo completo subraya el objetivo principal de CoinLurker de recopilar datos valiosos relacionados con las criptomonedas y credenciales de usuario”, dijo Lorber. “Su objetivo tanto en carteras tradicionales como en carteras poco conocidas demuestra su versatilidad y adaptabilidad, lo que la convierte en una amenaza importante para los usuarios del ecosistema de las criptomonedas”.

El desarrollo se produce cuando se ha observado que un solo actor de amenazas orquesta hasta 10 campañas de publicidad maliciosa que abusan de los anuncios de la Búsqueda de Google para señalar a los profesionales del diseño gráfico desde al menos el 13 de noviembre de 2024, utilizando señuelos relacionados con FreeCAD, Rhinoceros 3D, Planner 5D y En forma.

Ciberseguridad

“Se han lanzado dominios día tras día, semana tras semana, al menos desde el 13 de noviembre de 2024, para campañas de publicidad maliciosa alojadas en dos direcciones IP dedicadas: 185.11.61[.]243 y 185.147.124[.]110”, Empuje silencioso dicho. “Los sitios derivados de estos dos rangos de IP se están lanzando en campañas publicitarias de la Búsqueda de Google y todos conducen a una variedad de descargas maliciosas”.

También sigue la aparición de una nueva familia de malware denominada I2PRAT que abusa de la I2P Red peer-to-peer para comunicaciones cifradas con un servidor de comando y control (C2). Vale la pena señalar que Cofense también rastrea I2PRAT bajo el nombre de I2Parcae RAT.

El punto de partida del ataque es un correo electrónico de phishing que contiene un enlace que, al hacer clic, dirige al destinatario del mensaje a una página de verificación CAPTCHA falsa, que emplea la técnica ClickFix para engañar a los usuarios para que copien y ejecuten un comando de PowerShell codificado en Base64 responsable de iniciar un descargador, que luego implementa la RAT después de recuperarla del servidor C2 a través de un socket TCP.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Fórmula 1: Sergio Pérez deja Red Bull, Liam Lawson asume el relevo
Next: 💥 ¡SE HA SORTEADO LA SUPER LOTTO! | Resultados de Super Lotto – Pantalla de consulta de Super Lotto martes 17 de diciembre de 2024

Related Stories

La « línea roja de la muerte »: el signo
  • Tecnología

La « línea roja de la muerte »: el signo de que tu Steam Machine no va muy bien

teknomers 4 de Temmuz de 2026
Canícula: el error con el aire acondicionado que deja a
  • Tecnología

Canícula: el error con el aire acondicionado que deja a muchos automovilistas varados

teknomers 4 de Temmuz de 2026
Test Mova M10: ¿el mejor aspirador lavador por menos de
  • Tecnología

Test Mova M10: ¿el mejor aspirador lavador por menos de 300 euros?

teknomers 4 de Temmuz de 2026

You May Have Missed

  • Deporte

Celtic: Alex Oxlade-Chamberlain firma un nuevo contrato por un año

teknomers 4 de Temmuz de 2026
  • General

Lecciones de vida: Proverbio africano del día: “Quien come solo no puede… — Lecciones de vida sobre la felicidad, la comunidad, la soledad, la conexión humana y por qué la vida es mejor juntos.

teknomers 4 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: los horarios de salida de la contrarreloj por equipos de la 1ra etapa en Barcelona

teknomers 4 de Temmuz de 2026
  • Cultura

Tiago Rodrigues, director del Festival de Avignon: «No se busca la estrella para atraer público»

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.