Los atacantes est\u00e1n utilizando como arma una antigua vulnerabilidad de Microsoft Office como parte de campa\u00f1as de phishing para distribuir una cepa de malware llamada Agent Tesla.<\/p>\n
Las cadenas de infecci\u00f3n aprovechan los documentos se\u00f1uelo de Excel adjuntos en mensajes con temas de facturas para enga\u00f1ar a objetivos potenciales para que los abran y activar la explotaci\u00f3n de CVE-2017-11882 (puntaje CVSS: 7,8), una vulnerabilidad de corrupci\u00f3n de memoria en el Editor de ecuaciones de Office que podr\u00eda resultar en c\u00f3digo. ejecuci\u00f3n con los privilegios del usuario.<\/p>\n
Los hallazgos, que provienen de Zscaler ThreatLabz, se basan en informes anteriores de Fortinet FortiGuard Labs, que detallaron una campa\u00f1a de phishing similar que aprovech\u00f3 la falla de seguridad para entregar el malware.<\/p>\n
“Una vez que un usuario descarga un archivo adjunto malicioso y lo abre, si su versi\u00f3n de Microsoft Excel es vulnerable, el archivo Excel inicia la comunicaci\u00f3n con un destino malicioso y procede a descargar archivos adicionales sin requerir ninguna interacci\u00f3n adicional del usuario”, dijo el investigador de seguridad Kaivalya Khursale. dicho<\/a>.<\/p>\n La primera carga \u00fatil es un script de Visual Basic ofuscado, que inicia la descarga de un archivo JPG malicioso que viene integrado con un archivo DLL codificado en Base64. Esta t\u00e1ctica de evasi\u00f3n esteganogr\u00e1fica tambi\u00e9n fue anteriormente detallado por McAfee Labs<\/a> en septiembre de 2023.<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n Posteriormente, la DLL oculta se inyecta en RegAsm.exe, la herramienta de registro de ensamblaje de Windows, para iniciar la carga \u00fatil final. Vale la pena se\u00f1alar que tambi\u00e9n se ha abusado del ejecutable para cargar Quasar RAT en el pasado.<\/p>\n Agente Tesla<\/a> es un registrador de teclas avanzado y troyano de acceso remoto (RAT) basado en .NET que est\u00e1 equipado para recopilar informaci\u00f3n confidencial de hosts comprometidos. Luego, el malware se comunica con un servidor remoto para extraer los datos recopilados.<\/p>\n “Los actores de amenazas adaptan constantemente los m\u00e9todos de infecci\u00f3n, lo que hace imperativo que las organizaciones se mantengan actualizadas sobre la evoluci\u00f3n de las amenazas cibern\u00e9ticas para salvaguardar su panorama digital”, dijo Khursale.<\/p>\n El desarrollo se produce cuando las viejas fallas de seguridad se convierten en nuevos objetivos de ataque para los actores de amenazas. A principios de esta semana, Imperva revel\u00f3 que 8220 Gang est\u00e1 utilizando una falla de tres a\u00f1os en Oracle WebLogic Server (CVE-2020-14883, puntuaci\u00f3n CVSS: 7.2) para entregar mineros de criptomonedas.<\/p>\n Tambi\u00e9n coincide con un aumento en la actividad del malware DarkGate despu\u00e9s de que comenz\u00f3 a publicitarse a principios de este a\u00f1o como una oferta de malware como servicio (MaaS) y como reemplazo de QakBot luego de su eliminaci\u00f3n en agosto de 2023.<\/p>\n “El sector tecnol\u00f3gico es el m\u00e1s afectado por las campa\u00f1as de ataque DarkGate”, Zscaler dicho<\/a>citando datos de telemetr\u00eda del cliente.<\/p>\n “La mayor\u00eda de los dominios DarkGate tienen entre 50 y 60 d\u00edas, lo que puede indicar un enfoque deliberado en el que los actores de amenazas crean y rotan dominios en intervalos espec\u00edficos”.<\/p>\n Tambi\u00e9n se han descubierto campa\u00f1as de phishing dirigidas al sector hotelero con mensajes de correo electr\u00f3nico relacionados con reservas para distribuir malware de robo de informaci\u00f3n como RedLine Stealer o Vidar Stealer, seg\u00fan Sophos.<\/p>\n “Inicialmente se comunican con el objetivo a trav\u00e9s de un correo electr\u00f3nico que no contiene nada m\u00e1s que texto, pero con un tema al que una empresa orientada a servicios (como un hotel) querr\u00eda responder r\u00e1pidamente”, investigadores Andrew Brandt y Sean Gallagher. dicho<\/a>.<\/p>\n “S\u00f3lo despu\u00e9s de que el objetivo responde al correo electr\u00f3nico inicial del actor de la amenaza, este env\u00eda un mensaje de seguimiento vinculando lo que afirma son detalles sobre su solicitud o queja”.<\/p>\n A pesar de los ladrones y troyanos, los ataques de phishing han tomado la forma de correos electr\u00f3nicos falsos de “infracci\u00f3n de derechos de autor” de Instagram para robar los c\u00f3digos de respaldo de autenticaci\u00f3n de dos factores (2FA) de los usuarios a trav\u00e9s de p\u00e1ginas web fraudulentas con el objetivo de eludir las protecciones de la cuenta, un esquema llamado Insta-Phish-A-Gram<\/a>.<\/p>\n “Los datos que los atacantes recuperan de este tipo de ataque de phishing pueden venderse clandestinamente o utilizarse para hacerse cargo de la cuenta”, afirma la empresa de ciberseguridad. dicho<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Hackers-aprovechan-la-antigua-vulnerabilidad-de-MS-Excel-para-difundir.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n