Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos atacan a uigures y tibetanos con el exploit MOONSHINE y la puerta trasera DarkNimbus
  • Tecnología

Los piratas informáticos atacan a uigures y tibetanos con el exploit MOONSHINE y la puerta trasera DarkNimbus

teknomers 5 de Aralık de 2024 (Last updated: 5 de Aralık de 2024) 6 minutes read
Los piratas informáticos atacan a uigures y tibetanos con el


Un grupo de actividades de amenazas no documentado previamente denominado Minotauro de la Tierra está aprovechando el kit de explotación MOONSHINE y una puerta trasera de Android con Windows no declarada llamada DarkNimbus para facilitar operaciones de vigilancia a largo plazo dirigidas a tibetanos y uigures.

“Earth Minotaur utiliza MOONSHINE para ofrecer la puerta trasera DarkNimbus a dispositivos Android y Windows, apuntando a WeChat y posiblemente convirtiéndolo en una amenaza multiplataforma”, dijeron los investigadores de Trend Micro Joseph C Chen y Daniel Lunghi. dicho en un análisis publicado hoy.

“MOONSHINE explota múltiples vulnerabilidades conocidas en navegadores y aplicaciones basados ​​en Chromium, lo que requiere que los usuarios actualicen el software periódicamente para evitar ataques”.

Los países afectados por los ataques del Minotauro Terrestre abarcan Australia, Bélgica, Canadá, Francia, Alemania, India, Italia, Japón, Nepal, Países Bajos, Noruega, Rusia, España, Suiza, Taiwán, Turquía y Estados Unidos.

LUZ DE LA LUNA salió a la luz por primera vez en septiembre de 2019 como parte de ataques cibernéticos dirigidos a la comunidad tibetana, y Citizen Lab atribuye su uso a un operador al que rastrea bajo el nombre de POISON CARP, que se superpone con grupos de amenazas. Tierra Empusa y Mal de Ojo.

Se sabe que un kit de exploits basado en Android utiliza varios exploits del navegador Chrome con el objetivo de implementar cargas útiles que pueden desviar datos confidenciales de los dispositivos comprometidos. En particular, incorpora código para apuntar a varias aplicaciones como Google Chrome, Naver y aplicaciones de mensajería instantánea como LINE, QQ, WeChat y Zalo que incorporan un navegador dentro de la aplicación.

Ciberseguridad

Earth Minotaur, según Trend Micro, no tiene conexiones directas con Earth Empusa. Dirigido principalmente a las comunidades tibetanas y uigures, se ha descubierto que el actor de amenazas utiliza una versión mejorada de MOONSHINE para infiltrarse en los dispositivos de las víctimas y posteriormente infectarlos con DarkNimbus.

La nueva variante agrega a su arsenal de exploits CVE-2020-6418, una vulnerabilidad de confusión de tipos en el motor JavaScript V8 que Google parchó en febrero de 2020 luego de informes de que se había convertido en un arma de día cero.

Los piratas informáticos apuntan a uigures y tibetanos

“Earth Minotaur envía mensajes cuidadosamente elaborados a través de aplicaciones de mensajería instantánea para atraer a las víctimas a hacer clic en un enlace malicioso incrustado”, dijeron los investigadores. “Se disfrazan de personajes diferentes en los chats para aumentar el éxito de sus ataques de ingeniería social”.

Los enlaces falsos conducen a uno de al menos 55 servidores del kit de explotación MOONSHINE que se encargan de instalar la puerta trasera DarkNimbus en los dispositivos del objetivo.

En un inteligente intento de engaño, estas URL se hacen pasar por enlaces aparentemente inocuos, pretendiendo ser anuncios relacionados con China o relacionados con videos en línea de música y danzas tibetanas o uigures.

“Cuando una víctima hace clic en un enlace de ataque y es redirigida al servidor del kit de explotación, reacciona según la configuración integrada”, dijo Trend Micro. “El servidor redirigirá a la víctima al enlace legítimo enmascarado una vez finalizado el ataque para evitar que la víctima note cualquier actividad inusual”.

Los piratas informáticos apuntan a uigures y tibetanos

En situaciones en las que el navegador Tencent basado en Chromium no es susceptible a ninguno de los exploits admitidos por MOONSHINE, el servidor del kit está configurado para devolver una página de phishing que alerta al usuario de WeChat que el navegador dentro de la aplicación (un versión personalizada de Android WebView llamado Xcaminar) está desactualizado y debe actualizarse haciendo clic en el enlace de descarga proporcionado.

Esto da como resultado un ataque de degradación del motor del navegador, lo que permite al actor de la amenaza aprovechar el marco MOONSHINE explotando las fallas de seguridad no parcheadas.

Ciberseguridad

Un ataque exitoso hace que se implante una versión troyanizada de XWalk en el dispositivo Android y reemplace su contraparte legítima dentro de la aplicación WeChat, lo que en última instancia allana el camino para la ejecución de DarkNimbus.

Se cree que ha sido desarrollada y actualizada activamente desde 2018, la puerta trasera utiliza el protocolo XMPP para comunicarse con un servidor controlado por un atacante y admite una lista exhaustiva de comandos para aspirar información valiosa, incluidos metadatos del dispositivo, capturas de pantalla, marcadores del navegador, historial de llamadas telefónicas, contactos, mensajes SMS, geolocalización, archivos, contenido del portapapeles y una lista de aplicaciones instaladas.

También es capaz de ejecutar comandos de shell, grabar llamadas telefónicas, tomar fotografías y abusar de los permisos de los servicios de accesibilidad de Android para recopilar mensajes de DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat y WhatsApp. Por último, pero no menos importante, puede desinstalarse del teléfono infectado.

Trend Micro dijo que también detectó una versión para Windows de DarkNimbus que probablemente se creó entre julio y octubre de 2019, pero que solo se usó más de un año después, en diciembre de 2020.

Carece de muchas de las características de su variante de Android, pero incorpora una amplia gama de comandos para recopilar información del sistema, la lista de aplicaciones instaladas, pulsaciones de teclas, datos del portapapeles, credenciales guardadas e historial de los navegadores web, así como leer y cargar contenido de archivos. .

Aunque los orígenes exactos de Earth Minotaur no están claros actualmente, la diversidad en las cadenas de infección observadas combinada con herramientas de malware altamente capaces no deja dudas de que se trata de un actor de amenazas sofisticado.

“MOONSHINE es un conjunto de herramientas que aún está en desarrollo y se ha compartido con múltiples actores de amenazas, incluidos Earth Minotaur, POISON CARP, UNC5221 y otros”, teorizó Trend Micro.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: MIRAR. La sobrina nieta de Putin comete un error: publica accidentalmente cifras sobre soldados desaparecidos
Next: Encuentran gas de la risa en un taxi tras colisionar con un herido en la A5

Related Stories

Aquí está BeFC, la prometedora batería francesa que funciona con
  • Tecnología

Aquí está BeFC, la prometedora batería francesa que funciona con azúcar, sin un solo gramo de metal.

teknomers 12 de Temmuz de 2026
A pesar del éxito del nuevo Assassin's Creed Black Flag,
  • Tecnología

A pesar del éxito del nuevo Assassin’s Creed Black Flag, Ubisoft recorta (nuevamente) su plantilla

teknomers 12 de Temmuz de 2026
Ofertas de verano: estas 20 promociones podrían no estar en
  • Tecnología

Ofertas de verano: estas 20 promociones podrían no estar en línea por mucho tiempo este fin de semana

teknomers 12 de Temmuz de 2026

You May Have Missed

  • Deporte

Senegal despide al entrenador Pape Thiaw tras la salida en la Copa del Mundo.

teknomers 12 de Temmuz de 2026
  • General

Senador estadounidense, “uno de los más grandes” según Trump… ¿Quién fue Lindsey Graham, fallecido trágicamente el sábado?

teknomers 12 de Temmuz de 2026
  • General

Cita del día de Elvis Presley: ‘Si dejas que tu cabeza se haga demasiado grande,…’ – ‘Rey del rock and roll’ sobre el secreto del éxito duradero

teknomers 12 de Temmuz de 2026
  • Deporte

« Más relajado, liberado… »: consagrado en Roland-Garros, el nuevo Zverev desafía a Sinner en la final de Wimbledon

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.