{"id":1099526,"date":"2023-12-20T01:15:25","date_gmt":"2023-12-20T01:15:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-de-publicidad-maliciosa-que-distribuye-pikabot-disfrazado-de-software-popular\/"},"modified":"2023-12-20T01:15:30","modified_gmt":"2023-12-20T01:15:30","slug":"nueva-campana-de-publicidad-maliciosa-que-distribuye-pikabot-disfrazado-de-software-popular","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-de-publicidad-maliciosa-que-distribuye-pikabot-disfrazado-de-software-popular\/","title":{"rendered":"Nueva campa\u00f1a de publicidad maliciosa que distribuye PikaBot disfrazado de software popular"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Publicidad maliciosa\/seguridad del navegador<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Nueva-campana-de-publicidad-maliciosa-que-distribuye-PikaBot-disfrazado-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El cargador de malware conocido como PikaBot se distribuye como parte de una campa\u00f1a de publicidad maliciosa dirigida a usuarios que buscan software leg\u00edtimo como AnyDesk.<\/p>\n<p>&#8220;Anteriormente, PikaBot solo se distribu\u00eda a trav\u00e9s de campa\u00f1as de malspam de manera similar a QakBot y surgi\u00f3 como una de las cargas \u00fatiles preferidas para un actor de amenazas conocido como TA577&#8221;, J\u00e9r\u00f4me Segura de Malwarebytes. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/12\/pikabot-distributed-via-malicious-ads\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>La familia de malware, que <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/medium.com\/@DCSO_CyTec\/shortandmalicious-pikabot-and-the-matanbuchus-connection-5e302644398\" target=\"_blank\">primero<\/a> <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/news.sophos.com\/en-us\/2023\/06\/12\/deep-dive-into-the-pikabot-cyber-threat\/\" target=\"_blank\">apareci\u00f3<\/a> a principios de 2023, consta de un cargador y un m\u00f3dulo central que le permite funcionar como puerta trasera y distribuidor de otras cargas \u00fatiles.<\/p>\n<p>Esto permite a los actores de amenazas obtener acceso remoto no autorizado a sistemas comprometidos y transmitir comandos desde un servidor de comando y control (C2), que van desde shellcode arbitrario, DLL o archivos ejecutables, hasta otras herramientas maliciosas como Cobalt Strike.<\/p>\n<section class=\"check_two_webinar clear babsi\"> <span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"> <\/p>\n<p>Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n<p> <\/a> <\/p>\n<p class=\"wn-description\">Las medidas de seguridad tradicionales no son suficientes en el mundo actual.  Es hora de adoptar la seguridad Zero Trust.  Proteja sus datos como nunca antes. <\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/zero-trust-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">\u00danete ahora<\/a> <\/section>\n<p>Uno de los actores de amenazas que aprovecha PikaBot en sus ataques es <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/first-step-initial-access-leads-ransomware\" target=\"_blank\">TA577<\/a>un prol\u00edfico actor de amenazas de delitos cibern\u00e9ticos que, en el pasado, entreg\u00f3 QakBot, IcedID, SystemBC, SmokeLoader, Ursnif y Cobalt Strike.<\/p>\n<p>El mes pasado, se supo que PikaBot, junto con DarkGate, se est\u00e1 propagando a trav\u00e9s de campa\u00f1as de malspam que reflejan la de QakBot.  &#8220;La infecci\u00f3n por Pikabot provoc\u00f3 el ataque de Cobalt en 207.246.99[.]159:443 usando masterunis[.]net como su dominio&#8221;, Unidad 42 de Palo Alto Networks <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/twitter.com\/Unit42_Intel\/status\/1736859404157276596\" target=\"_blank\">revelado<\/a> recientemente.<\/p>\n<p>El \u00faltimo vector de infecci\u00f3n inicial es un anuncio malicioso de Google para AnyDesk que, cuando una v\u00edctima hace clic en la p\u00e1gina de resultados de b\u00fasqueda, redirige a un sitio web falso llamado anadesky.ovmv.[.]net que apunta a un instalador MSI malicioso alojado en Dropbox.<\/p>\n<p>Vale la pena se\u00f1alar que la redirecci\u00f3n al sitio web falso s\u00f3lo se produce despu\u00e9s de tomar la huella digital de la solicitud, y s\u00f3lo si no se origina en una m\u00e1quina virtual.<\/p>\n<p>&#8220;Los actores de amenazas est\u00e1n eludiendo los controles de seguridad de Google con una URL de seguimiento a trav\u00e9s de una plataforma de marketing leg\u00edtima para redirigir a su dominio personalizado detr\u00e1s de Cloudflare&#8221;, explic\u00f3 Segura.  &#8220;En este punto, s\u00f3lo las direcciones IP limpias se reenv\u00edan al siguiente paso&#8221;.<\/p>\n<p>Curiosamente, se lleva a cabo una segunda ronda de toma de huellas digitales cuando la v\u00edctima hace clic en el bot\u00f3n de descarga del sitio web, probablemente en un intento adicional de garantizar que no sea accesible en un entorno virtualizado.<\/p>\n<p>Malwarebytes dijo que los ataques recuerdan a cadenas de publicidad maliciosa previamente identificadas y empleadas para difundir otro cargador de malware conocido como FakeBat (tambi\u00e9n conocido como EugenLoader).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1703034924_756_Nueva-campana-de-publicidad-maliciosa-que-distribuye-PikaBot-disfrazado-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1703034924_756_Nueva-campana-de-publicidad-maliciosa-que-distribuye-PikaBot-disfrazado-de.jpg\" alt=\"Campa\u00f1a de publicidad maliciosa\" border=\"0\" data-original-height=\"486\" data-original-width=\"728\" title=\"Campa\u00f1a de publicidad maliciosa\"\/><\/a><\/div>\n<p>&#8220;Esto es particularmente interesante porque apunta hacia un proceso com\u00fan utilizado por diferentes actores de amenazas&#8221;, dijo Segura.  &#8220;Quiz\u00e1s esto sea algo parecido a la &#8216;publicidad maliciosa como servicio&#8217; en la que se proporcionan anuncios de Google y p\u00e1ginas se\u00f1uelo a los distribuidores de malware&#8221;.<\/p>\n<p>Esta divulgaci\u00f3n se produce cuando la compa\u00f1\u00eda de ciberseguridad dijo que detect\u00f3 un aumento en anuncios maliciosos a trav\u00e9s de b\u00fasquedas en Google de software popular como Zoom, Advanced IP Scanner y WinSCP para ofrecer un cargador nunca antes visto llamado HiroshimaNukes, as\u00ed como FakeBat.<\/p>\n<p>&#8220;Utiliza varias t\u00e9cnicas para evitar la detecci\u00f3n desde la carga lateral de DLL hasta cargas \u00fatiles muy grandes&#8221;, Segura <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.malwarebytes.com\/blog\/threat-intelligence\/2023\/12\/malvertisers-zoom-in-on-cryptocurrencies-and-initial-access\" target=\"_blank\">dicho<\/a>.  &#8220;Su objetivo es eliminar malware adicional, normalmente un ladr\u00f3n seguido de una filtraci\u00f3n de datos&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-F5-advierte-sobre-ataques-activos-que-aprovechan-la-vulnerabilidad.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El aumento de la publicidad maliciosa es indicativo de c\u00f3mo los ataques basados \u200b\u200ben navegadores act\u00faan como canales para infiltrarse en las redes objetivo.  Esto tambi\u00e9n incluye un nuevo marco de extensi\u00f3n de Google Chrome con nombre en c\u00f3digo ParaSiteSnatcher, que permite a los actores de amenazas &#8220;monitorear, manipular y extraer informaci\u00f3n altamente confidencial de m\u00faltiples fuentes&#8221;.<\/p>\n<p>Dise\u00f1ada espec\u00edficamente para comprometer a los usuarios en Am\u00e9rica Latina, la extensi\u00f3n maliciosa se destaca por su uso de la API del navegador Chrome para interceptar y filtrar todas las solicitudes POST que contienen informaci\u00f3n confidencial de cuentas y financiera.  Se descarga a trav\u00e9s de un descargador de VBScript alojado en Dropbox y Google Cloud y se instala en un sistema infectado.<\/p>\n<p>&#8220;Una vez instalada, la extensi\u00f3n se manifiesta con la ayuda de amplios permisos habilitados a trav\u00e9s de la extensi\u00f3n de Chrome, lo que le permite manipular sesiones web, solicitudes web y realizar un seguimiento de las interacciones del usuario en m\u00faltiples pesta\u00f1as utilizando la API de pesta\u00f1as de Chrome&#8221;, Trend Micro <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/k\/parasitesnatcher-how-malicious-chrome-extensions-target-brazil-.html\" target=\"_blank\">dicho<\/a> el mes pasado.<\/p>\n<p>&#8220;El malware incluye varios componentes que facilitan su funcionamiento, scripts de contenido que permiten la inyecci\u00f3n de c\u00f3digo malicioso en p\u00e1ginas web, monitorean pesta\u00f1as de Chrome e interceptan la entrada del usuario y la comunicaci\u00f3n del navegador web&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/new-malvertising-campaign-distributing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de diciembre de 2023\ue804Sala de redacci\u00f3nPublicidad maliciosa\/seguridad del navegador El cargador de malware conocido como PikaBot se<\/p>\n","protected":false},"author":1,"featured_media":1099527,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,3372,4664,8847,22758,4662,4668,201033,11113,4654,201031,4659,4653,4655,212,216913,3243,9994,4666,4665,6246,201032,4660],"class_list":["post-1099526","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-disfrazado","tag-distribuye","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosa","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-pikabot","tag-popular","tag-publicidad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1099526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1099526"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1099526\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1099527"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1099526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1099526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1099526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}