Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Ghostwriter ligado a Bielorrusia usa MacRopack-Obfuscated Excel Macros para implementar malware
  • Tecnología

Ghostwriter ligado a Bielorrusia usa MacRopack-Obfuscated Excel Macros para implementar malware

teknomers 25 de Şubat de 2025 (Last updated: 25 de Şubat de 2025) 3 minutes read
Ghostwriter ligado a Bielorrusia usa MacRopack-Obfuscated Excel Macros para implementar


25 de febrero de 2025Ravie LakshmananMalware / espionaje cibernético

Los activistas de la oposición en Bielorrusia, así como las organizaciones militares y gubernamentales ucranianas, son el objetivo de una nueva campaña que emplea documentos de Microsoft Excel con señuelos para entregar una nueva variante de Picasoloader.

Se ha evaluado que el grupo de amenazas es una extensión de una campaña de larga duración montada por un actor de amenaza alineado de Bielorrusia denominado fantasma (también conocido como lunescape, TA445, UAC-0057 y UNC1151) desde 2016. Es conocido Alinearse con los intereses de seguridad rusos y promover narrativas críticas con la OTAN.

Ciberseguridad

“La campaña ha estado en preparación desde julio-agosto de 2024 y ingresó a la fase activa en noviembre-diciembre de 2024”, el investigador de Sentinelone Tom Hegel dicho En un informe técnico compartido con Hacker News. “Las muestras de malware recientes y la actividad de infraestructura de comando y control (C2) indican que la operación permanece activa en los últimos días”.

El punto de partida de la cadena de ataque analizado por la compañía de seguridad cibernética es un documento compartido de Google Drive que se originó en una cuenta llamada Vladimir Nikiforech y organizó un archivo RAR.

El archivo de rata incluye un libro de trabajo de Excel malicioso que, cuando se abre, desencadena la ejecución de una macro ofuscada cuando las posibles víctimas permiten que se ejecute macros. La macro procede a escribir un archivo DLL que finalmente allane el camino para una versión simplificada de PicasSoloader.

En la siguiente fase, se muestra un archivo de Excel señuelo a la víctima, mientras que, en segundo plano, se descargan cargas útiles adicionales en el sistema. Tan recientemente como junio de 2024, este enfoque se utilizó para entregar el marco de Cobalt Strike después de la explotación.

Sentinelone dijo que también descubrió otros documentos de Excel armados con señuelos con temática de Ucrania para recuperar un malware desconocido de la segunda etapa de una URL remota (“Sciencealert[.]Comprar “) en forma de una imagen JPG aparentemente inofensiva, una técnica conocida como esteganografía. Las URL ya no están disponibles.

Ciberseguridad

En otro caso, el documento de Excel atrapado en Booby se utiliza para entregar una DLL llamada LibCMD, que está diseñada para ejecutar cmd.exe y conectarse a stdin/stdout. Se carga directamente en la memoria como un ensamblaje de .NET y se ejecuta.

“A lo largo de 2024, GhostWriter ha utilizado repetidamente una combinación de libros de trabajo de Excel que contienen macros VBA Obfuscadas de Macropack y descartaron descargados .NET descargados con Confusado“, Dijo Hegel.

“Si bien Bielorrusia no participa activamente en campañas militares en la guerra en Ucrania, los actores de amenaza cibernética asociados con él parecen no tener reservas sobre la realización de operaciones de espionaje cibernético contra los objetivos ucranianos”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Hamilton advierte y bromas
Next: La Semana de la Moda de Londres Otoño/Invierno 2025 las tendencias fueron un testimonio de la destreza creativa de la ciudad

Related Stories

Nothing Ear (3a): ¿El regreso de los mejores auriculares Bluetooth
  • Tecnología

Nothing Ear (3a): ¿El regreso de los mejores auriculares Bluetooth por menos de 100 euros?

teknomers 8 de Temmuz de 2026
G-SYNC Pulsar: NVIDIA reduce la latencia en modo 240 Hz
  • Tecnología

G-SYNC Pulsar: NVIDIA reduce la latencia en modo 240 Hz

teknomers 8 de Temmuz de 2026
Nothing lanza su Phone (4b) y sus auriculares ear (3a)
  • Tecnología

Nothing lanza su Phone (4b) y sus auriculares ear (3a) a un precio accesible y con funciones originales

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

Guerra en Ucrania: Kiev transmite los números de serie de componentes occidentales hallados en armas rusas para rastrear las redes

teknomers 8 de Temmuz de 2026
En plena Copa del Mundo, la federación argentina bajo investigación
  • Deporte

En plena Copa del Mundo, la federación argentina bajo investigación del FBI por sospechas de fraude y blanqueo.

teknomers 8 de Temmuz de 2026
  • General

FMI: El FMI nombra a la ex-economista de la Fed Silvana Tenreyro como economista jefe y directora de investigación

teknomers 8 de Temmuz de 2026
Nothing Ear (3a): ¿El regreso de los mejores auriculares Bluetooth
  • Tecnología

Nothing Ear (3a): ¿El regreso de los mejores auriculares Bluetooth por menos de 100 euros?

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.