Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La campaña Horns&Hooves ofrece RAT a través de correos electrónicos falsos y cargas útiles de JavaScript
  • Tecnología

La campaña Horns&Hooves ofrece RAT a través de correos electrónicos falsos y cargas útiles de JavaScript

teknomers 3 de Aralık de 2024 (Last updated: 3 de Aralık de 2024) 4 minutes read
La campaña Horns&Hooves ofrece RAT a través de correos electrónicos


03 de diciembre de 2024Ravie LakshmananAtaque de malware/phishing

Se ha descubierto que una campaña de malware recientemente descubierta se dirige a usuarios privados, minoristas y empresas de servicios ubicados principalmente en Rusia para ofrecer NetSupport RAT y BurnsRAT.

La campaña, denominada Cuernos y pezuñas de Kaspersky, ha afectado a más de 1.000 víctimas desde que comenzó alrededor de marzo de 2023. El objetivo final de estos ataques es aprovechar el acceso que ofrecen estos troyanos para instalar malware ladrón como Rhadamanthys y Meduza.

“En los últimos meses se ha producido un aumento en el envío de correos electrónicos con archivos adjuntos similares en forma de un archivo ZIP que contiene scripts JScript”, afirma el investigador de seguridad Artem Ushkov. dicho en un análisis del lunes. “Los archivos de script [are] disfrazados de solicitudes y ofertas de clientes o socios potenciales”.

Los actores de amenazas detrás de las operaciones han demostrado su desarrollo activo de la carga útil de JavaScript, realizando cambios significativos durante el transcurso de la campaña.

Ciberseguridad

En algunos casos, se ha descubierto que el archivo ZIP contiene otros documentos relacionados con la organización o la persona suplantada para aumentar la probabilidad de éxito del ataque de phishing y engañar a los destinatarios para que abran el archivo con malware.

Una de las primeras muestras identificadas como parte de la campaña es un archivo de aplicación HTML (HTA) que, cuando se ejecuta, descarga una imagen PNG señuelo desde un servidor remoto utilizando la utilidad curl para Windows, al mismo tiempo que recupera y ejecuta sigilosamente otro script (” bat_install.bat”) desde un servidor diferente usando el Administrador de BITS herramienta de línea de comandos.

El script recién descargado procede a buscar utilizando BITSAdmin varios otros archivos, incluido el malware NetSupport RAT, que establece contacto con un servidor de comando y control (C2) configurado por los atacantes.

Una iteración posterior de la campaña observada a mediados de mayo de 2023 involucró el JavaScript intermedio que imitaba bibliotecas de JavaScript legítimas como Next.js para activar la cadena de infección NetSupport RAT.

Kaspersky dijo que también encontró otra variante del archivo JavaScript que eliminaba un instalador NSIS que luego es responsable de implementar BurnsRAT en el host comprometido.

“Aunque la puerta trasera admite comandos para descargar y ejecutar archivos de forma remota, así como varios métodos para ejecutar comandos a través de la línea de comandos de Windows, la tarea principal de este componente es iniciar el sistema de manipulación remota (RMS) como servicio y enviar el ID de sesión RMS al servidor de los atacantes”, explicó Ushkov.

“RMS es una aplicación que permite a los usuarios interactuar con sistemas remotos a través de una red. Proporciona la capacidad de administrar el escritorio, ejecutar comandos, transferir archivos e intercambiar datos entre dispositivos ubicados en diferentes ubicaciones geográficas”.

Ciberseguridad

En una señal de que los actores de amenazas continuaron modificando su modus operandi, otras dos secuencias de ataque detectadas a fines de mayo y junio de 2023 vinieron con un archivo BAT completamente reelaborado para instalar NetSupport RAT e incorporaron el malware directamente dentro del código JavaScript, respectivamente.

Hay indicios de que la campaña es obra de un actor de amenazas conocido como TA569 (también conocido como Gold Prelude, Mustard Tempest y Purple Vallhund), conocido por operar el malware SocGholish (también conocido como FakeUpdates). Esta conexión surge de superposiciones en la licencia RAT de NetSupport y los archivos de configuración utilizados en las respectivas actividades.

Vale la pena mencionar que también se sabe que TA569 actúa como intermediario de acceso inicial para ataques de ransomware posteriores como WastedLocker.

“Dependiendo de en qué manos caiga este acceso, las consecuencias para las empresas víctimas pueden variar desde el robo de datos hasta el cifrado y daños a los sistemas”, afirmó Ushkov. “También observamos intentos de instalar ladrones en algunas máquinas infectadas”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Cuándo eres un bebedor moderado? El especialista en hígado explica cuándo se debe reducir
Next: Las personas mayores buscan el castillo de Heeren van Aemstel debajo de la histórica panadería

Related Stories

Un usuario genera contenidos ilegales con Grok, xAI lo demanda
  • Tecnología

Un usuario genera contenidos ilegales con Grok, xAI lo demanda en justicia

teknomers 17 de Temmuz de 2026
Micromania por fin ha encontrado un comprador, y viene de
  • Tecnología

Micromania por fin ha encontrado un comprador, y viene de Quebec.

teknomers 17 de Temmuz de 2026
60 herramientas PDF, cero archivos enviados en línea: la apuesta
  • Tecnología

60 herramientas PDF, cero archivos enviados en línea: la apuesta de este software gratuito y de código abierto

teknomers 17 de Temmuz de 2026

You May Have Missed

  • General

Por qué las elecciones estadounidenses son tan complicadas – y seguras

teknomers 17 de Temmuz de 2026
  • Finanzas

«Fraudes industriales»: más de 16 millones de euros desviado de «la Sécu» del Val-d’Oise en 2025

teknomers 17 de Temmuz de 2026
Tour de France 2026, etapa 13: recorrido y perfil de
  • Deporte

Tour de France 2026, etapa 13: recorrido y perfil de la etapa del día entre Dole y Belfort

teknomers 17 de Temmuz de 2026
Un usuario genera contenidos ilegales con Grok, xAI lo demanda
  • Tecnología

Un usuario genera contenidos ilegales con Grok, xAI lo demanda en justicia

teknomers 17 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.