Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Los piratas informáticos rusos que usan ClickFix Fake Captcha para implementar el nuevo malware de LostKeys
  • Tecnología

Los piratas informáticos rusos que usan ClickFix Fake Captcha para implementar el nuevo malware de LostKeys

teknomers 8 de Mayıs de 2025 (Last updated: 8 de Mayıs de 2025) 5 minutes read
Los piratas informáticos rusos que usan ClickFix Fake Captcha para


El actor de amenaza vinculado a Rusia conocido como Fría se ha observado distribuyendo un nuevo malware llamado Kilómetros perdidos Como parte de una campaña centrada en el espionaje utilizando señuelos de ingeniería social similar a ClickFix.

“Lostkeys es capaz de robar archivos de una lista de extensiones y directorios codificados, junto con el envío de información del sistema y procesos de ejecución al atacante”, el Grupo de Inteligencia de Amenazos de Google (GTIG) dicho.

El malware, dijo la compañía, se observó en enero, marzo y abril de 2025 en ataques contra asesores actuales y anteriores a gobiernos y militares occidentales, así como periodistas, think tanks y ONG. Además, las personas conectadas a Ucrania también han sido señaladas.

LostKeys es el segundo malware personalizado atribuido a ColdRiver después de Spica, marcando una desviación continua de las campañas de phishing de credenciales por las que el actor de amenaza ha sido conocido. El grupo de piratería también se rastrea bajo los nombres Callisto, Star Blizzard y UNC4057.

Ciberseguridad

“Son conocidos por robar credenciales y después de obtener acceso a la cuenta de un objetivo, exfiltran los correos electrónicos y roban listas de contactos de la cuenta comprometida”, dijo el investigador de seguridad Wesley Shields. “En casos seleccionados, ColdRiver también entrega malware a dispositivos de destino y puede intentar acceder a archivos en el sistema”.

El último conjunto de ataques comienza con un sitio web de señuelo que contiene un aviso de verificación Captcha falso, donde se instruye a las víctimas para abrir el diálogo de Windows Run y ​​pegar un comando PowerShell copiado en el portapapeles, una técnica de ingeniería social ampliamente popular llamada ClickFix.

El comando PowerShell está diseñado para descargar y ejecutar la siguiente carga útil desde un servidor remoto (“165.227.148[.]68 “), que actúa como descargador para una tercera etapa pero no antes de realizar verificaciones en un probable esfuerzo para evadir la ejecución en máquinas virtuales.

Una blob codificada por Base64, la carga útil de la tercera etapa se decodifica en un script de PowerShell que es responsable de ejecutar Keys LostKeys en el host comprometido, lo que permite al actor de amenaza cosechar información del sistema, ejecutar procesos y archivos de una lista de extensiones y directorios codificados.

Al igual que en el caso de Spica, se ha evaluado que el malware solo se implementa selectivamente, indicativo de la naturaleza altamente dirigida de estos ataques.

Google también dijo que descubrió artefactos adicionales de LostKeys que se remontan a diciembre de 2023 que se disfrazaban de binarios relacionados con la plataforma de investigación de código abierto de Maltego. No se sabe si estas muestras tienen algún vínculo con ColdRiver, o si el malware fue reutilizado por los actores de amenaza a partir de enero de 2025.

La adopción de ClickFix continúa creciendo

El desarrollo se produce cuando ClickFix continúa siendo adoptado constantemente por múltiples actores de amenazas para distribuir una amplia gama de familias de malware, incluido un troyano bancario llamado Lampion y Atomic Stealer.

Los ataques de propagación de Lampion, por unidad de Palo Alto Networks 42, usan correos electrónicos de phishing con archivos adjuntos de archivos postales como señuelos. Presente dentro del archivo ZIP hay un archivo HTML que redirige al destinatario del mensaje a una página de destino falsa con instrucciones de clickFix para iniciar el proceso de infección de varias etapas.

“Otro aspecto interesante de la cadena de infección de Lampion es que se divide en varias etapas no consecutivas, ejecutadas como procesos separados”, la Unidad 42 dicho. “Esta ejecución dispersa complica la detección, ya que el flujo de ataque no forma un árbol de proceso fácilmente identificable. En cambio, comprende una cadena compleja de eventos individuales, algunos de los cuales podrían parecer benignos de forma aislada”.

La campaña maliciosa se dirigió a individuos y organizaciones de habla portuguesa en varios sectores, incluidos el gobierno, las finanzas y el transporte, agregó la compañía.

Ciberseguridad

En los últimos meses, la estrategia ClickFix también se ha combinado con otra táctica furtiva llamada Etherhiding, que implica el uso de contratos de cadena inteligente (BSC) de Binance para ocultar la carga útil de la próxima etapa, lo que finalmente conduce a la entrega de un robador de información de MacOS llamado Atomic Stealer.

“Haga clic en ‘No soy un robot’ desencadena un contrato inteligente de binance, utilizando una técnica de ethiding, para entregar un comando codificado Base64 al portapapeles, que los usuarios deben ejecutar en terminal a través de accesos accesorios específicos dicho. “Este comando descarga un script que recupera y ejecuta un binario Mach-O firmado, confirmado como Atomic Stealer”.

Una investigación adicional ha encontrado que la campaña probablemente ha comprometido alrededor de 2,800 sitios web legítimos para servir indicaciones falsas de Captcha. El ataque de abrevadero a gran escala ha sido llamado en código MacReaper por el investigador.

“El ataque aprovecha a JavaScript offush, tres iframes de pantalla completa e infraestructura de comando basada en blockchain para maximizar las infecciones”, agregó el investigador.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Juez extra estricto por violador (38) Van Girl (15) que los gatos de vecinos dieron comida en Gante: el hombre tiene 9 años de prisión
Next: Los sospechosos de terror iraní en Londres tenían la embajada israelí como objetivo

Related Stories

Nova Lake: en PC portátil, Intel daría un salto con
  • Tecnología

Nova Lake: en PC portátil, Intel daría un salto con iGPU cada vez más potentes

teknomers 9 de Temmuz de 2026
La sonda New Horizons se despierta a 9,5 mil millones
  • Tecnología

La sonda New Horizons se despierta a 9,5 mil millones de km de la Tierra: ¿pero qué está haciendo más allá de Plutón?

teknomers 9 de Temmuz de 2026
Este portátil con una configuración muy completa (Intel Core Ultra
  • Tecnología

Este portátil con una configuración muy completa (Intel Core Ultra 7, 32 GB de RAM) está disponible por 700 € menos.

teknomers 9 de Temmuz de 2026

You May Have Missed

  • General

Lección de vida: Cita del día de Rumi, ‘¿Por qué debería ser infeliz? Cada parte de mi ser está en plena floración’, es un consejo sobre cómo la felicidad crece cuando las personas aprecian lo que ya poseen en lugar de centrarse constantemente en lo que les falta.

teknomers 9 de Temmuz de 2026
  • Finanzas

Sequía en el Aube: el prefecto prohíbe las cosechas por la tarde tras 250 hectáreas quemadas en un día

teknomers 9 de Temmuz de 2026
  • Deporte

« Un manque de maîtrise »: el día en que Facundo Tello, el árbitro de France-Maroc, mostró 10 tarjetas rojas en un solo partido

teknomers 9 de Temmuz de 2026
  • Cultura

Solidays cancelado: la región Île-de-France invoca la « fuerza mayor » para subvencionar Solidarité Sida a pesar de todo

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.