{"id":1000534,"date":"2023-10-16T15:27:06","date_gmt":"2023-10-16T15:27:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-prorrusos-aprovechan-la-reciente-vulnerabilidad-de-winrar-en-una-nueva-campana\/"},"modified":"2023-10-16T15:27:10","modified_gmt":"2023-10-16T15:27:10","slug":"hackers-prorrusos-aprovechan-la-reciente-vulnerabilidad-de-winrar-en-una-nueva-campana","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-prorrusos-aprovechan-la-reciente-vulnerabilidad-de-winrar-en-una-nueva-campana\/","title":{"rendered":"Hackers prorrusos aprovechan la reciente vulnerabilidad de WinRAR en una nueva campa\u00f1a"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Vulnerabilidad \/ Hackeo<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Grupos de hackers prorrusos han explotado una vulnerabilidad de seguridad recientemente revelada en la utilidad de archivo WinRAR como parte de una campa\u00f1a de phishing dise\u00f1ada para recolectar credenciales de sistemas comprometidos.<\/p>\n

“El ataque implica el uso de archivos maliciosos que explotan la vulnerabilidad descubierta recientemente que afecta a las versiones del software de compresi\u00f3n WinRAR anteriores a la 6.23 y rastreadas como CVE-2023-38831”, Cluster25 dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

El archivo contiene un archivo PDF con trampa explosiva que, al hacer clic en \u00e9l, hace que se ejecute un script de Windows Batch, que inicia comandos de PowerShell para abrir un shell inverso que le da al atacante acceso remoto al host objetivo.<\/p>\n

Tambi\u00e9n se implementa un script de PowerShell que roba datos, incluidas las credenciales de inicio de sesi\u00f3n, de los navegadores Google Chrome y Microsoft Edge. La informaci\u00f3n capturada se extrae a trav\u00e9s de un webhook de servicio web leg\u00edtimo.[.]sitio.<\/p>\n

\"La<\/a><\/center><\/div>\n

CVE-2023-38831 hace referencia a una falla de alta gravedad en WinRAR que permite a los atacantes ejecutar c\u00f3digo arbitrario al intentar ver un archivo benigno dentro de un archivo ZIP. Los hallazgos de Group-IB en agosto de 2023 revelaron que el error se hab\u00eda utilizado como arma de d\u00eda cero desde abril de 2023 en ataques dirigidos a comerciantes.<\/p>\n

El desarrollo se produce como Mandiant, propiedad de Google. trazado<\/a> Las operaciones de phishing de “r\u00e1pida evoluci\u00f3n” del actor estado-naci\u00f3n ruso APT29 dirigidas a entidades diplom\u00e1ticas en medio de un aumento en el ritmo y un \u00e9nfasis en Ucrania en la primera mitad de 2023.<\/p>\n

Los cambios sustanciales en las herramientas y el arte comercial de APT29 “probablemente est\u00e9n dise\u00f1ados para respaldar una mayor frecuencia y alcance de las operaciones y obstaculizar el an\u00e1lisis forense”, dijo la compa\u00f1\u00eda, y que ha “utilizado varias cadenas de infecci\u00f3n simult\u00e1neamente en diferentes operaciones”.<\/p>\n

Algunos de los cambios notables incluyen el uso de sitios de WordPress comprometidos para alojar cargas \u00fatiles de la primera etapa, as\u00ed como componentes adicionales de ofuscaci\u00f3n y antian\u00e1lisis.<\/p>\n

AT29, que tambi\u00e9n se ha relacionado con la explotaci\u00f3n centrada en la nube, es uno de los muchos grupos de actividades originados en Rusia que han se\u00f1alado a Ucrania tras el inicio de la guerra a principios del a\u00f1o pasado.<\/p>\n

En julio de 2023, el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) implic\u00f3 a Turla en ataques que implementaban el malware Capibar y la puerta trasera Kazuar para ataques de espionaje a activos defensivos ucranianos.<\/p>\n

“El grupo Turla es un adversario persistente con una larga historia de actividades. Sus or\u00edgenes, t\u00e1cticas y objetivos indican una operaci\u00f3n bien financiada con agentes altamente calificados”, Trend Micro revelado<\/a> en un informe reciente. “Turla ha desarrollado continuamente sus herramientas y t\u00e9cnicas durante a\u00f1os y probablemente seguir\u00e1 perfeccion\u00e1ndolas”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Las agencias de ciberseguridad ucranianas, en un informe del mes pasado, tambi\u00e9n revel\u00f3<\/a> que los actores de amenazas respaldados por el Kremlin apuntaron a entidades nacionales encargadas de hacer cumplir la ley para recopilar informaci\u00f3n sobre las investigaciones ucranianas sobre cr\u00edmenes de guerra cometidos por soldados rusos.<\/p>\n

“En 2023, los grupos m\u00e1s activos fueron UAC-0010 (Gamaredon\/FSB), UAC-0056 (GRU), UAC-0028 (APT28\/GRU), UAC-0082 (gusano de arena<\/a>\/GRU), UAC-0144 \/ UAC-0024 \/ UAC-0003 (Turla), UAC-0029 (APT29\/ SVR), UAC-0109 (Zaria<\/a>), UAC-0100, UAC-0106 (XakNet), [and] UAC-0107 (Ciberej\u00e9rcitode Rusia<\/a>),”, el Servicio Estatal de Comunicaciones Especiales y Protecci\u00f3n de la Informaci\u00f3n de Ucrania (SSSCIP) dicho<\/a>.<\/p>\n

CERT-UA registr\u00f3 27 ciberataques “cr\u00edticos” en el primer semestre de 2023, frente a 144 en el segundo semestre de 2022 y 319 en el primer semestre de 2022. En total, los ciberataques destructivos que afectaron a las operaciones cayeron de 518 a 267.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n