Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • LOBSHOT: un troyano financiero sigiloso y un ladrón de información entregado a través de Google Ads
  • Tecnología

LOBSHOT: un troyano financiero sigiloso y un ladrón de información entregado a través de Google Ads

teknomers 2 de Mayıs de 2023 (Last updated: 2 de Mayıs de 2023) 4 minutes read
LOBSHOT: un troyano financiero sigiloso y un ladrón de información


02 de mayo de 2023Ravie LakshmanánPublicidad maliciosa/amenaza cibernética

En otro ejemplo de cómo los actores de amenazas están abusando de Google Ads para entregar malware, se ha observado que un actor de amenazas aprovecha la técnica para entregar un nuevo troyano financiero y ladrón de información basado en Windows llamado LOBSHOT.

“LOBSHOT continúa recolectando víctimas mientras permanece bajo el radar”, dijo el investigador de Elastic Security Labs, Daniel Stepanic, en un análisis. publicado la semana pasada.

“Una de las capacidades principales de LOBSHOT es su componente hVNC (cómputo de red virtual oculta). Este tipo de módulos permiten el acceso directo y no observado a la máquina”.

La compañía estadounidense-holandesa atribuyó la cepa de malware a un actor de amenazas conocido como TA505 basado en la infraestructura históricamente conectada al grupo. TA505 es un sindicato del crimen electrónico motivado financieramente que se superpone con grupos de actividad rastreados bajo los nombres Evil Corp, FIN11 e Indrik Spider.

La seguridad cibernética

El último desarrollo es importante porque es una señal de que TA505, que está asociado con el troyano bancario Dridex, está ampliando una vez más su arsenal de malware para perpetrar el robo de datos y el fraude financiero.

LOBSHOT, con muestras tempranas que datan de julio de 2022, se distribuye a través de anuncios falsos de Google para herramientas legítimas como AnyDesk que se alojan en una red de páginas de destino similares mantenida por los operadores.

El malware incorpora resolución de importación dinámica (es decir, resolución de los nombres de las API de Windows necesarias en tiempo de ejecución), comprobaciones antiemulación y ofuscación de cadenas para evadir la detección por parte del software de seguridad.

Una vez instalado, realiza cambios en el Registro de Windows para configurar la persistencia y extrae datos de más de 50 extensiones de billetera de criptomonedas presentes en navegadores web como Google Chrome, Microsoft Edge y Mozilla Firefox.

Anuncios de Google

Las otras características notables de LOBSHOT giran en torno a su capacidad para acceder de forma remota al host comprometido a través de un hVNC módulo y sigilosamente realizar acciones sobre él sin llamar la atención de la víctima.

“Los grupos de amenazas continúan aprovechando las técnicas de publicidad maliciosa para enmascarar software legítimo con puertas traseras como LOBSHOT”, dijo Stepanic.

“Este tipo de malware parece pequeño, pero termina con una funcionalidad significativa que ayuda a los actores de amenazas a moverse rápidamente durante las etapas iniciales de acceso con capacidades de control remoto totalmente interactivas”.

PRÓXIMO SEMINARIO WEB

Aprenda a detener el ransomware con protección en tiempo real

Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.

Guardar mi asiento!

Los hallazgos también subrayan cómo un número cada vez mayor de adversarios están adoptando el envenenamiento por publicidad maliciosa y optimización de motores de búsqueda (SEO) como una técnica para redirigir a los usuarios a sitios web falsos y descargar instaladores troyanos de software popular.

Según datos de eSentirelos actores de amenazas detrás de GootLoader han sido vinculados a una serie de ataques dirigidos a bufetes de abogados y departamentos legales corporativos en los EE. UU., Canadá, el Reino Unido y Australia.

GootLoader, activo desde 2018 y que funciona como una operación inicial de acceso como servicio para ataques de ransomware, emplea el envenenamiento de SEO para atraer a las víctimas que buscan acuerdos y contratos a blogs de WordPress infectados que apuntan a enlaces que contienen el malware.

Además de implementar geofencing para atacar a las víctimas en regiones seleccionadas, la cadena de ataque está diseñada de tal manera que el malware solo se puede descargar una vez al día desde los sitios secuestrados para eludir el descubrimiento por parte de los respondedores de incidentes.

El uso de GootLoader del método de la dirección IP para filtrar a las víctimas ya pirateadas, descubrió eSentire, podría usarse en su contra para bloquear de manera preventiva las direcciones IP de los usuarios finales y evitar que las organizaciones sufran posibles infecciones.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En la gala de la moda, nadie siguió siendo un rosa de pared: un traje aún se destacaba sobre el resto
Next: La inflación de la eurozona aumentó ligeramente hasta el 7% en abril

Related Stories

Windows 11: ¿se puede realmente eliminar el identificador GDID de
  • Tecnología

Windows 11: ¿se puede realmente eliminar el identificador GDID de su PC?

teknomers 10 de Temmuz de 2026
El nuevo REDMI Note 17 cuenta con la pantalla más
  • Tecnología

El nuevo REDMI Note 17 cuenta con la pantalla más grande de la industria

teknomers 10 de Temmuz de 2026
Antiguo jefe de la NASA: el plan de retorno a
  • Tecnología

Antiguo jefe de la NASA: el plan de retorno a la Luna tiene un defecto mayor, no hay módulo lunar

teknomers 10 de Temmuz de 2026

You May Have Missed

Windows 11: ¿se puede realmente eliminar el identificador GDID de
  • Tecnología

Windows 11: ¿se puede realmente eliminar el identificador GDID de su PC?

teknomers 10 de Temmuz de 2026
Un influencer de Toulouse acusa a una clínica privada de
  • salud

Un influencer de Toulouse acusa a una clínica privada de haberle transmitido un estafilococo y cuenta su “recorrido de luchador”

teknomers 10 de Temmuz de 2026
En el Norte, una adolescente de 17 años muere durante
  • Entretenimiento

En el Norte, una adolescente de 17 años muere durante las celebraciones de la victoria de los Bleus.

teknomers 10 de Temmuz de 2026
  • General

El magnate francés Xavier Niel se convierte en el principal accionista de Vodafone en un acuerdo de 6 mil millones de dólares

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.