{"id":1015300,"date":"2023-10-25T21:24:10","date_gmt":"2023-10-25T21:24:10","guid":{"rendered":"https:\/\/teknomers.com\/es\/campana-de-publicidad-maliciosa-apunta-al-sistema-de-pago-pix-de-brasil-con-malware-gopix\/"},"modified":"2023-10-25T21:24:14","modified_gmt":"2023-10-25T21:24:14","slug":"campana-de-publicidad-maliciosa-apunta-al-sistema-de-pago-pix-de-brasil-con-malware-gopix","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/campana-de-publicidad-maliciosa-apunta-al-sistema-de-pago-pix-de-brasil-con-malware-gopix\/","title":{"rendered":"Campa\u00f1a de publicidad maliciosa apunta al sistema de pago PIX de Brasil con malware GoPIX"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Campana-de-publicidad-maliciosa-apunta-al-sistema-de-pago-PIX.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La popularidad de Brasil <a rel=\"nofollow noopener\" href=\"https:\/\/www.bcb.gov.br\/en\/financialstability\/pix_en\" target=\"_blank\">FOTO<\/a> El sistema de pago instant\u00e1neo lo ha convertido en un objetivo lucrativo para los actores de amenazas que buscan generar ganancias il\u00edcitas utilizando un nuevo malware llamado <b>GoPIX<\/b>.<\/p>\n<p>Kaspersky, que ha estado rastreando la campa\u00f1a activa desde diciembre de 2022, dijo que los ataques se llevan a cabo mediante anuncios maliciosos que se muestran cuando las v\u00edctimas potenciales buscan &#8220;WhatsApp web&#8221; en los motores de b\u00fasqueda.<\/p>\n<p>&#8220;Los ciberdelincuentes utilizan publicidad maliciosa: sus enlaces se colocan en la secci\u00f3n de anuncios de los resultados de b\u00fasqueda, para que el usuario los vea primero&#8221;, afirm\u00f3 el proveedor ruso de ciberseguridad. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/crimeware-report-gopix-lumar-rhysida\/110871\/\" target=\"_blank\">dicho<\/a>.  &#8220;Si hacen clic en dicho enlace, se produce una redirecci\u00f3n y el usuario termina en la p\u00e1gina de inicio del malware&#8221;.<\/p>\n<p>Como se observ\u00f3 recientemente en otras campa\u00f1as de publicidad maliciosa, los usuarios que hagan clic en el anuncio ser\u00e1n redirigidos a trav\u00e9s de un servicio de encubrimiento destinado a filtrar entornos aislados, bots y otros que no se consideran v\u00edctimas genuinas.<\/p>\n<p>Esto se logra mediante el uso de una soluci\u00f3n leg\u00edtima de prevenci\u00f3n de fraude conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/www.ipqualityscore.com\/\" target=\"_blank\">Puntuaci\u00f3n de calidad IP<\/a> para determinar si el visitante del sitio es un humano o un robot.  A los usuarios que pasan la verificaci\u00f3n se les muestra una p\u00e1gina de descarga de WhatsApp falsa para enga\u00f1arlos y que descarguen un instalador malicioso.<\/p>\n<p>En un giro interesante, el malware se puede descargar desde dos URL diferentes dependiendo de si el puerto 27275 est\u00e1 abierto en la m\u00e1quina del usuario.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-2.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Progress-Software-publica-revisiones-urgentes-para-multiples-fallas-de-seguridad.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Este puerto lo utiliza el software de banca segura Avast&#8221;, explic\u00f3 Kaspersky.  &#8220;Si se detecta este software, se descarga un archivo ZIP que contiene un archivo LNK que incorpora un script de PowerShell ofuscado que descarga la siguiente etapa&#8221;.<\/p>\n<p>Si se cierra el puerto, el paquete de instalaci\u00f3n de NSIS se descarga directamente.  Esto indica que la barrera de seguridad adicional est\u00e1 configurada expl\u00edcitamente para eludir el software de seguridad y distribuir el malware.<\/p>\n<p>El objetivo principal del instalador es recuperar e iniciar el malware GoPIX utilizando una t\u00e9cnica llamada <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/012\/\" target=\"_blank\">proceso de vaciado<\/a> iniciando el <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Svchost.exe\" target=\"_blank\">svchost.exe<\/a> Proceso del sistema Windows en estado suspendido e inyectando la carga \u00fatil en \u00e9l.<\/p>\n<p>GoPIX funciona como un malware ladr\u00f3n de portapapeles que secuestra las solicitudes de pago de PIX y las reemplaza con una cadena de PIX controlada por el atacante, que se recupera de un servidor de comando y control (C2).<\/p>\n<p>&#8220;El malware tambi\u00e9n admite la sustituci\u00f3n de direcciones de billetera Bitcoin y Ethereum&#8221;, dijo Kaspersky.  &#8220;Sin embargo, estos est\u00e1n codificados en el malware y no se recuperan del C2. GoPIX tambi\u00e9n puede recibir comandos C2, pero s\u00f3lo est\u00e1n relacionados con la eliminaci\u00f3n del malware de la m\u00e1quina&#8221;.<\/p>\n<p>Esta no es la \u00fanica campa\u00f1a dirigida a usuarios que buscan aplicaciones de mensajer\u00eda como WhatsApp y Telegram en motores de b\u00fasqueda.<\/p>\n<p>En una nueva serie de ataques concentrados en la regi\u00f3n de Hong Kong, se descubri\u00f3 que anuncios falsos en los resultados de b\u00fasqueda de Google redirigen a los usuarios a p\u00e1ginas similares fraudulentas que instan a los usuarios a <a rel=\"nofollow noopener\" href=\"https:\/\/web.whatsapp.com\/\" target=\"_blank\">escanear un c\u00f3digo QR<\/a> para vincular sus dispositivos.<\/p>\n<p>&#8220;El problema aqu\u00ed es que el c\u00f3digo QR que est\u00e1s escaneando proviene de un sitio malicioso que no tiene nada que ver con WhatsApp&#8221;, J\u00e9r\u00f4me Segura, director de inteligencia de amenazas de Malwarebytes, <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/10\/hong-kong-residents-targeted-in-malvertising-campaigns-for-whatsapp-telegram\" target=\"_blank\">dicho<\/a> en un informe del martes.<\/p>\n<p>Como resultado, el dispositivo del atacante se vincula a las cuentas de WhatsApp de la v\u00edctima, lo que le otorga al atacante acceso completo a sus historiales de chat y contactos guardados.<\/p>\n<p>Malwarebytes dijo que tambi\u00e9n descubri\u00f3 una campa\u00f1a similar que utiliza Telegram como se\u00f1uelo para atraer a los usuarios a descargar un instalador falso de una p\u00e1gina de Google Docs que contiene <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/detections\/trojan-injector\" target=\"_blank\">malware inyector<\/a>.<\/p>\n<p>El desarrollo se produce cuando Proofpoint revel\u00f3 que una nueva versi\u00f3n del <a rel=\"nofollow noopener\" href=\"https:\/\/socradar.io\/resource\/brazil-threat-landscape-report\/\" target=\"_blank\">Troyano bancario brasile\u00f1o<\/a> Apodado Grandoreiro apunta a v\u00edctimas en M\u00e9xico y Espa\u00f1a, describiendo la actividad como &#8220;inusual en frecuencia y volumen&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/1696134768_108_Los-anuncios-de-chat-de-Bing-impulsados-\u200b\u200bpor-IA-de.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La empresa de seguridad empresarial tiene <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/copacabana-barcelona-cross-continental-threat-brazilian-banking-malware\" target=\"_blank\">atribuido<\/a> la campa\u00f1a a un actor de amenazas al que rastrea como TA2725, que es conocido por utilizar malware bancario brasile\u00f1o y phishing para identificar varias entidades en Brasil y M\u00e9xico.<\/p>\n<p>El objetivo de Espa\u00f1a apunta a una tendencia emergente en la que el malware centrado en Am\u00e9rica Latina est\u00e1 poniendo cada vez m\u00e1s su mirada en Europa.  A principios de mayo, SentinelOne descubri\u00f3 una campa\u00f1a de larga duraci\u00f3n emprendida por un actor de amenazas brasile\u00f1o para atacar a m\u00e1s de 30 bancos portugueses con malware ladr\u00f3n.<\/p>\n<p>Mientras tanto, los ladrones de informaci\u00f3n est\u00e1n floreciendo en la econom\u00eda del cibercrimen, y los autores de crimeware inundan el mercado clandestino con ofertas de malware como servicio (MaaS) que brindan a los ciberdelincuentes un medio conveniente y rentable para realizar ataques.<\/p>\n<p>Es m\u00e1s, estas herramientas reducen la barrera de entrada para los aspirantes a actores de amenazas que pueden carecer de experiencia t\u00e9cnica.<\/p>\n<p>El \u00faltimo en unirse al ecosistema de ladrones es Lumar, que fue anunciado por primera vez por un usuario llamado Collector en foros de cibercrimen en julio de 2023, comercializando sus capacidades para capturar sesiones de Telegram, recopilar cookies y contrase\u00f1as del navegador, recuperar archivos y extraer datos de billeteras criptogr\u00e1ficas.<\/p>\n<p>&#8220;A pesar de tener todas estas funcionalidades, el malware es relativamente peque\u00f1o en t\u00e9rminos de tama\u00f1o (s\u00f3lo 50 KB), lo que se debe en parte al hecho de que est\u00e1 escrito en C&#8221;, se\u00f1al\u00f3 Kaspersky.<\/p>\n<p>&#8220;El malware emergente a menudo se anuncia en la web oscura entre delincuentes menos h\u00e1biles y se distribuye como MaaS, lo que permite a sus autores enriquecerse r\u00e1pidamente y poner en peligro a las organizaciones leg\u00edtimas una y otra vez&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/malvertising-campaign-targets-brazils.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La popularidad de Brasil FOTO El sistema de pago instant\u00e1neo lo ha convertido en un objetivo lucrativo para<\/p>\n","protected":false},"author":1,"featured_media":1015301,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2490,4661,2087,3372,4664,99,4662,212009,4668,201033,11113,4669,4654,201031,4659,4653,4655,1603,212008,9994,4666,4665,5321,201032,4660],"class_list":["post-1015300","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apunta","tag-ataques-ciberneticos","tag-brasil","tag-campana","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-gopix","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosa","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-pago","tag-pix","tag-publicidad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sistema","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1015300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1015300"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1015300\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1015301"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1015300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1015300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1015300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}