Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Microsoft advierte sobre la evolución de las tácticas de evasión y robo de credenciales de COLDRIVER
  • Tecnología

Microsoft advierte sobre la evolución de las tácticas de evasión y robo de credenciales de COLDRIVER

teknomers 7 de Aralık de 2023 (Last updated: 7 de Aralık de 2023) 5 minutes read
Microsoft advierte sobre la evolución de las tácticas de evasión


07 de diciembre de 2023Las noticias de los piratas informáticosInteligencia de amenazas/Ciberespionaje

El actor de amenazas conocido como COLDRIVER ha seguido participando en actividades de robo de credenciales contra entidades que son de interés estratégico para Rusia y, al mismo tiempo, ha mejorado sus capacidades de evasión de detección.

El equipo de Microsoft Threat Intelligence está rastreando el clúster como Ventisca estelar (anteriormente SEABORGIUM). También se llama Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto) y TA446.

El adversario “continúa atacando prolíficamente a personas y organizaciones involucradas en asuntos internacionales, defensa y apoyo logístico a Ucrania, así como al mundo académico, empresas de seguridad de la información y otras entidades alineadas con los intereses estatales rusos”, dijo Redmond. dicho.

Star Blizzard, vinculada al Servicio Federal de Seguridad (FSB) de Rusia, tiene un historial de creación de dominios similares que se hacen pasar por las páginas de inicio de sesión de empresas específicas. Se sabe que está activo desde al menos 2017.

PRÓXIMO SEMINARIO WEB

Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana

¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.

Únete ahora

En agosto de 2023, Recorded Future reveló 94 nuevos dominios que forman parte de la infraestructura de ataque del actor de amenazas, la mayoría de los cuales presentan palabras clave relacionadas con la tecnología de la información y las criptomonedas.

Microsoft dijo que observó al adversario aprovechando scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor a partir de abril de 2023, alejándose de hCaptcha para determinar objetivos de interés y redirigiendo la sesión de navegación al servidor Evilginx.

El código JavaScript del lado del servidor está diseñado para verificar si el navegador tiene algún complemento instalado, si se accede a la página mediante una herramienta de automatización como Selenium o PhantomJS, y transmitir los resultados al servidor en forma de una solicitud HTTP POST.

“Después de la solicitud POST, el servidor redirector evalúa los datos recopilados del navegador y decide si permite la redirección continua del navegador”, dijo Microsoft.

Tácticas de robo de credenciales

“Cuando se llega a un buen veredicto, el navegador recibe una respuesta del servidor de redirección, redirigiendo a la siguiente etapa de la cadena, que es un hCaptcha para que el usuario lo resuelva o directamente al servidor Evilginx”.

Star Blizzard también utiliza recientemente servicios de marketing por correo electrónico como HubSpot y MailerLite para crear campañas que sirvan como punto de partida de la cadena de redireccionamiento que culmina en el servidor Evilginx que aloja la página de recolección de credenciales.

Además, se ha observado que el actor de amenazas utiliza un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominio registrada del actor, enviando señuelos PDF protegidos con contraseña que incrustan los enlaces para evadir los procesos de seguridad del correo electrónico y alojar los archivos en Proton Drive.

Eso no es todo. En una señal de que el actor de amenazas está controlando activamente los informes públicos sobre sus tácticas y técnicas, ahora ha actualizado su algoritmo de generación de dominios (DGA) para incluir una lista más aleatoria de palabras al nombrarlas.

La seguridad cibernética

A pesar de estos cambios, “las actividades de Star Blizzard siguen centradas en el robo de credenciales de correo electrónico, principalmente dirigidas a proveedores de correo electrónico basados ​​en la nube que alojan cuentas de correo electrónico organizacionales y/o personales”, dijo Microsoft.

“Star Blizzard se mantiene constante en el uso de pares de VPS dedicados para alojar la infraestructura controlada por el actor (redirector + servidores Evilginx) utilizada para actividades de phishing, donde cada servidor generalmente aloja un dominio registrado por el actor por separado”.

Reino Unido sanciona a dos miembros de Star Blizzard

El acontecimiento se produce cuando el Reino Unido denunció a Star Blizzard por “intentos sostenidos y fallidos de interferir en los procesos políticos del Reino Unido” apuntando a personas y entidades de alto perfil a través de operaciones cibernéticas.

Además de vincular Star Blizzard con el Centro 18, un elemento subordinado dentro del FSB, el gobierno del Reino Unido sancionó a dos miembros del equipo de hackers – Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets (alias Alexey Doguzhiev) – por su participación en las campañas de phishing.

La actividad “resultó en el acceso no autorizado y la exfiltración de datos confidenciales, con el objetivo de socavar a las organizaciones del Reino Unido y, más ampliamente, al gobierno del Reino Unido”, dijo.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: “Pensé que iba a morir”: un rehén tailandés cuenta con vívidos detalles cómo lo trató Hamás
Next: Trabajadores y patrones optan por pagos navideños antes que fiestas

Related Stories

Este portátil con una configuración muy completa (Intel Core Ultra
  • Tecnología

Este portátil con una configuración muy completa (Intel Core Ultra 7, 32 GB de RAM) está disponible por 700 € menos.

teknomers 9 de Temmuz de 2026
Microsoft corrige RoguePlanet, la vulnerabilidad de Defender que abría Windows
  • Tecnología

Microsoft corrige RoguePlanet, la vulnerabilidad de Defender que abría Windows en grande

teknomers 9 de Temmuz de 2026
Bloqueo de sitios piratas, revés judicial en Bulgaria
  • Tecnología

Bloqueo de sitios piratas, revés judicial en Bulgaria

teknomers 9 de Temmuz de 2026

You May Have Missed

Este portátil con una configuración muy completa (Intel Core Ultra
  • Tecnología

Este portátil con una configuración muy completa (Intel Core Ultra 7, 32 GB de RAM) está disponible por 700 € menos.

teknomers 9 de Temmuz de 2026
"Él prefiere hacerla pasar por mentirosa": un padre de cuatro
  • salud

“Él prefiere hacerla pasar por mentirosa”: un padre de cuatro hijos declarado culpable por tercera vez de hechos de violencia de género

teknomers 9 de Temmuz de 2026
Esta velada dedicada a Rachida Dati le vale a CNews
  • Entretenimiento

Esta velada dedicada a Rachida Dati le vale a CNews un nuevo requerimiento por parte de l’Arcom.

teknomers 9 de Temmuz de 2026
  • General

Noticias sobre la visa H1B: ‘¡Los trabajos en América pertenecen a los estadounidenses!’: El gran mensaje de JD Vance mientras EE. UU. intensifica la lucha contra el fraude en visas H-1B – Teknomers

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.