Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva variante de malware Truebot que aprovecha Netwrix Auditor Bug y Raspberry Robin Worm
  • Tecnología

Nueva variante de malware Truebot que aprovecha Netwrix Auditor Bug y Raspberry Robin Worm

teknomers 9 de Aralık de 2022 (Last updated: 9 de Aralık de 2022) 4 minutes read
Nueva variante de malware Truebot que aprovecha Netwrix Auditor Bug


09 de diciembre de 2022Ravie Lakshmanán

Los investigadores de seguridad cibernética han informado de un aumento en TrueBot infecciones, principalmente dirigidas a México, Brasil, Pakistán y los EE. UU.

Cisco Talos dijo que los atacantes detrás de la operación han pasado del uso de correos electrónicos maliciosos a métodos de entrega alternativos, como la explotación de una falla de ejecución remota de código (RCE) ahora parcheada en el auditor de Netwrix, así como el gusano Raspberry Robin.

“La actividad posterior al compromiso incluyó el robo de datos y la ejecución del ransomware Clop”, investigador de seguridad Tiago Pereira. dijo en un informe del jueves.

TrueBot es un descargador de malware de Windows que se atribuye a un actor de amenazas rastreado por Group-IB como Silence, un equipo de habla rusa que se cree que compartir asociaciones con Evil Corp (también conocido como DEV-0243) y TA505.

La seguridad cibernética

El módulo de la primera etapa funciona como un punto de entrada para las actividades posteriores a la explotación, incluido el robo de información utilizando una utilidad de exfiltración de datos personalizada hasta ahora desconocida denominada Teleport, dijo la firma de ciberseguridad.

Microsoft destacó recientemente el uso de Raspberry Robin, un gusano que se propaga principalmente a través de unidades USB infectadas, como un vector de entrega para TrueBot, que dijo que es parte de un “ecosistema de malware complejo e interconectado”.

Software malicioso Truebot

En lo que es otra señal de colaboración enredada con otras familias de malware, también se ha observado que Raspberry Robin se implementa Actualizaciones falsas (también conocido como SocGholish) en sistemas comprometidos, lo que en última instancia conduce a un comportamiento similar al ransomware vinculado a Evil Corp.

Microsoft está rastreando a los operadores del malware basado en USB como DEV-0856 y los ataques de ransomware Clop que ocurren a través de Raspberry Robin y TrueBot bajo el grupo de amenazas emergentes DEV-0950.

“DEV-0950 tradicionalmente usa phishing para adquirir a la mayoría de sus víctimas, por lo que este notable cambio al uso de Raspberry Robin les permite entregar cargas útiles a infecciones existentes y mover sus campañas más rápidamente a etapas de ransomware”, señaló el fabricante de Windows en octubre de 2022.

Software malicioso Truebot

Los últimos hallazgos de Cisco Talos muestran que Silence APT llevó a cabo un pequeño conjunto de ataques entre mediados de agosto y septiembre de 2022 al abusar de una vulnerabilidad crítica de RCE en el auditor de Netwrix (CVE-2022-31199puntaje CVSS: 9.8) para descargar y ejecutar TrueBot.

El hecho de que el error se convirtió en un arma solo un mes después de su divulgación pública por parte del obispo Fox a mediados de julio de 2022 sugiere que “los atacantes no solo buscan nuevos vectores de infección, sino que también pueden probarlos rápidamente e incorporarlos en su flujo de trabajo”, dijo Pereira.

Sin embargo, las infecciones de TrueBot en octubre implicaron el uso de un vector de ataque diferente, es decir, Raspberry Robin, lo que subraya la evaluación de Microsoft sobre el papel central del gusano USB como plataforma de distribución de malware.

La función principal de TrueBot es recopilar información del host e implementar cargas útiles de la siguiente etapa, como Cobalt Strike, FlawedGrace y Teleport. A esto le sigue la ejecución del binario de ransomware después de recopilar información relevante.

La herramienta de exfiltración de datos Teleport también se destaca por su capacidad para limitar las velocidades de carga y el tamaño de los archivos, lo que hace que las transmisiones no sean detectadas por el software de monitoreo. Además de eso, puede borrar su propia presencia de la máquina.

Una mirada más cercana a los comandos emitidos a través de Teleport revela que el programa se usa exclusivamente para recopilar archivos de las carpetas OneDrive y Descargas, así como los mensajes de correo electrónico de Outlook de la víctima.

“La entrega de Raspberry Robin condujo a la creación de una botnet de más de 1000 sistemas que se distribuye en todo el mundo, pero con un enfoque particular en México, Brasil y Pakistán”, dijo Pereira.

Los atacantes, sin embargo, parecen haber cambiado a un mecanismo de distribución TrueBot desconocido a partir de noviembre, con el vector logrando cooptar más de 500 servidores Windows con acceso a Internet ubicados en los EE. UU., Canadá y Brasil en una red de bots.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Richard de Weijze anuncia su retiro como director comercial en FC Volendam
Next: Alquileres más bajos para más de 300.000 viviendas

Related Stories

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
Prueba del Lymow One Plus: ¿es el mejor robot cortacésped
  • Tecnología

Prueba del Lymow One Plus: ¿es el mejor robot cortacésped para hierbas altas y terrenos difíciles?

teknomers 12 de Temmuz de 2026
Meta frente a la UE: Facebook e Instagram considerados demasiado
  • Tecnología

Meta frente a la UE: Facebook e Instagram considerados demasiado adictivos

teknomers 12 de Temmuz de 2026

You May Have Missed

  • General

“Irán tomó una mala decisión. Ahora lo paga”: Hegseth advierte a Irán en medio de los últimos ataques de EE. UU. – Teknomers

teknomers 12 de Temmuz de 2026
Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses
  • Deporte

Noruega-Inglaterra: el resumen de la difícil victoria de los ingleses con un gran Jude Bellingham

teknomers 12 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Tuchel critica a la Inglaterra ‘afortunada’ y ‘desordenada’ – ¿será suficiente una ‘mentalidad pura’?

teknomers 12 de Temmuz de 2026
Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente
  • Tecnología

Seguridad vial: por qué su próximo coche nuevo supervisará obligatoriamente su mirada

teknomers 12 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.