{"id":1016104,"date":"2023-10-26T10:08:01","date_gmt":"2023-10-26T10:08:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-irani-tortoiseshell-lanza-una-nueva-ola-de-ataques-de-malware-imaploader\/"},"modified":"2023-10-26T10:08:04","modified_gmt":"2023-10-26T10:08:04","slug":"el-grupo-irani-tortoiseshell-lanza-una-nueva-ola-de-ataques-de-malware-imaploader","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-irani-tortoiseshell-lanza-una-nueva-ola-de-ataques-de-malware-imaploader\/","title":{"rendered":"El grupo iran\u00ed Tortoiseshell lanza una nueva ola de ataques de malware IMAPLoader"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Amenaza cibern\u00e9tica\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenazas iran\u00ed conocido como Carey<\/strong> se ha atribuido a una nueva ola de ataques de abrevadero que est\u00e1n dise\u00f1ados para implementar un malware denominado IMAPLoader.<\/p>\n

“IMAPLoader es un malware .NET que tiene la capacidad de tomar huellas dactilares de los sistemas de las v\u00edctimas utilizando utilidades nativas de Windows y act\u00faa como un descargador de cargas \u00fatiles adicionales”, PwC Threat Intelligence dicho<\/a> en un an\u00e1lisis del mi\u00e9rcoles.<\/p>\n

“Utiliza el correo electr\u00f3nico como [command-and-control] canal y es capaz de ejecutar cargas \u00fatiles extra\u00eddas de archivos adjuntos de correo electr\u00f3nico y se ejecuta a trav\u00e9s de nuevas implementaciones de servicios”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Activo desde al menos 2018, Tortoiseshell tiene un historial de uso de ataques estrat\u00e9gicos a sitios web como estrategia para facilitar la distribuci\u00f3n de malware. A principios de mayo, ClearSky vincul\u00f3 al grupo con la violaci\u00f3n de ocho sitios web asociados con empresas de transporte, log\u00edstica y servicios financieros en Israel.<\/p>\n

El actor de amenazas est\u00e1 alineado con el Cuerpo de la Guardia Revolucionaria Isl\u00e1mica (IRGC<\/a>) y tambi\u00e9n es rastreado por la comunidad de ciberseguridad en general bajo los nombres Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 y Yellow Liderc.<\/p>\n

\"Ataques<\/a><\/div>\n

El \u00faltimo conjunto de ataques entre 2022 y 2023 implica la incorporaci\u00f3n de JavaScript malicioso en sitios web leg\u00edtimos comprometidos para recopilar m\u00e1s detalles sobre los visitantes, incluida su ubicaci\u00f3n, informaci\u00f3n del dispositivo y hora de las visitas.<\/p>\n

Estas intrusiones se centraron principalmente en los sectores mar\u00edtimo, mar\u00edtimo y log\u00edstico en el Mediterr\u00e1neo, y en algunos casos llevaron al despliegue de IMAPLoader como carga \u00fatil de seguimiento en caso de que la v\u00edctima fuera considerada un objetivo de alto valor.<\/p>\n

Se dice que IMAPLoader es un reemplazo de un implante IMAP Tortoiseshell basado en Python utilizado anteriormente a finales de 2021 y principios de 2022, debido a las similitudes en la funcionalidad.<\/p>\n

\"La<\/a><\/center><\/div>\n

El malware act\u00faa como un descargador de cargas \u00fatiles de la siguiente etapa mediante consultas codificadas Cuentas de correo electr\u00f3nico IMAP<\/a>espec\u00edficamente revisando una carpeta del buz\u00f3n mal escrita como “Recibir” para recuperar los archivos ejecutables de los archivos adjuntos del mensaje.<\/p>\n

En una cadena de ataque alternativa, se utiliza un documento se\u00f1uelo de Microsoft Excel como vector inicial para iniciar un proceso de varias etapas para entregar y ejecutar IMAPLoader, lo que indica que el actor de la amenaza est\u00e1 utilizando una variedad de t\u00e1cticas y t\u00e9cnicas para lograr sus objetivos estrat\u00e9gicos. . <\/p>\n

PwC dijo que tambi\u00e9n descubri\u00f3 sitios de phishing creados por Tortoiseshell, algunos de los cuales est\u00e1n dirigidos a los sectores de viajes y hoteler\u00eda en Europa, para realizar la recolecci\u00f3n de credenciales utilizando p\u00e1ginas de inicio de sesi\u00f3n falsas de Microsoft.<\/p>\n

“Este actor de amenazas sigue siendo una amenaza activa y persistente para muchas industrias y pa\u00edses, incluidos los sectores mar\u00edtimo, mar\u00edtimo y log\u00edstico dentro del Mediterr\u00e1neo; las industrias nuclear, aeroespacial y de defensa en los EE. UU. y Europa; y los proveedores de servicios gestionados de TI en el Medio Oriente. Oriente”, dijo PwC.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n