Una nueva campa\u00f1a de phishing est\u00e1 aprovechando documentos se\u00f1uelo de Microsoft Word como cebo para ofrecer una puerta trasera escrita en el lenguaje de programaci\u00f3n Nim.<\/p>\n
“El malware escrito en lenguajes de programaci\u00f3n poco comunes pone a la comunidad de seguridad en desventaja, ya que la falta de familiaridad de los investigadores y los ingenieros inversos puede obstaculizar su investigaci\u00f3n”, afirman los investigadores de Netskope Ghanashyam Satpathy y Jan Michael Alcantara. dicho<\/a>.<\/p>\n El malware basado en Nim ha sido una rareza en el panorama de amenazas, aunque eso ha ido cambiando lentamente en los \u00faltimos a\u00f1os a medida que los atacantes contin\u00faan desarrollando herramientas personalizadas desde cero utilizando el lenguaje o trasladando a \u00e9l versiones existentes de sus nefastos programas.<\/p>\n Esto se ha demostrado en el caso de cargadores como NimzaLoader, Nimbda, IceXLoader, as\u00ed como en el caso de familias de ransomware rastreadas con los nombres Dark Power y kanti<\/a>.<\/p>\n La cadena de ataque documentada por Netskope comienza con un correo electr\u00f3nico de phishing que contiene un documento adjunto de Word que, cuando se abre, insta al destinatario a habilitar macros para activar la implementaci\u00f3n del malware Nim. El remitente del correo electr\u00f3nico se disfraza de funcionario del gobierno nepal\u00ed.<\/p>\n Una vez iniciado, el implante es responsable de enumerar los procesos en ejecuci\u00f3n para determinar la existencia de herramientas de an\u00e1lisis conocidas en el host infectado y finalizar r\u00e1pidamente si encuentra una.<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n De lo contrario, la puerta trasera establece conexiones con un servidor remoto que imita un dominio gubernamental de Nepal, incluido el Centro Nacional de Tecnolog\u00eda de la Informaci\u00f3n (NITC), y espera m\u00e1s instrucciones. Ya no se puede acceder a los servidores de comando y control (C2).<\/p>\n “Nim es un lenguaje de programaci\u00f3n compilado de tipo est\u00e1tico”, dijeron los investigadores. “Aparte de su sintaxis familiar, sus funciones de compilaci\u00f3n cruzada permiten a los atacantes escribir una variante de malware y compilarla de forma cruzada para apuntar a diferentes plataformas”.<\/p>\n La divulgaci\u00f3n viene como Cyble revel\u00f3<\/a> una campa\u00f1a de ingenier\u00eda social que aprovecha los mensajes en las plataformas de redes sociales para entregar un nuevo malware ladr\u00f3n basado en Python llamado Editbot Stealer que est\u00e1 dise\u00f1ado para recolectar y exfiltrar datos valiosos a trav\u00e9s de un canal de Telegram controlado por un actor.<\/p>\n Incluso cuando los actores de amenazas est\u00e1n experimentando con nuevas cepas de malware, tambi\u00e9n se han observado campa\u00f1as de phishing que distribuyen malware conocido como DarkGate y NetSupport RAT por correo electr\u00f3nico y sitios web comprometidos con se\u00f1uelos de actualizaciones falsas (tambi\u00e9n conocidos como RogueRticate), particularmente aquellos de un grupo denominado BattleRoyal.<\/p>\n La empresa de seguridad empresarial Proofpoint dijo que identific\u00f3 al menos 20 campa\u00f1as que utilizaron el malware DarkGate entre septiembre y noviembre de 2023, antes de cambiar a NetSupport RAT a principios de este mes.<\/p>\n Una secuencia de ataque identificada a principios de octubre de 2023 se destaca particularmente por encadenar dos sistemas de entrega de tr\u00e1fico (TDS), 404 TDS y Keitaro TDS, para filtrar y redirigir a las v\u00edctimas que cumplen con sus criterios a un dominio operado por un actor que aloja una carga \u00fatil que explota CVE-2023. 36025 (puntuaci\u00f3n CVSS: 8,8), una omisi\u00f3n de seguridad de alta gravedad de Windows SmartScreen que Microsoft solucion\u00f3 en noviembre de 2023.<\/p>\n Esto implica que BattleRoyal utiliz\u00f3 esta vulnerabilidad como arma como un d\u00eda cero un mes antes de que fuera revelada p\u00fablicamente por el gigante tecnol\u00f3gico.<\/p>\n DarkGate est\u00e1 dise\u00f1ado para robar informaci\u00f3n y descargar cargas \u00fatiles de malware adicionales, mientras que NetSupport RAT, que comenz\u00f3 como una aut\u00e9ntica herramienta de administraci\u00f3n remota, se ha metamorfoseado en un arma potente empu\u00f1ada por actores mal\u00e9volos para infiltrarse en los sistemas y establecer un control remoto sin restricciones.<\/p>\n “Actores de amenazas cibercriminales [are] adoptar cadenas de ataque nuevas, variadas y cada vez m\u00e1s creativas, incluido el uso de varias herramientas TDS, para permitir la distribuci\u00f3n de malware”, Proofpoint dicho<\/a>.<\/p>\n “Adem\u00e1s, el uso de correos electr\u00f3nicos y actualizaciones falsas muestra al actor utilizando m\u00faltiples tipos de t\u00e9cnicas de ingenier\u00eda social en un intento de lograr que los usuarios instalen la carga \u00fatil final”.<\/p>\n DarkGate tambi\u00e9n ha sido utilizado por otros actores de amenazas como TA571<\/a> y TA577, ambos conocidos por difundir una variedad de malware, incluidos AsyncRAT, NetSupport, IcedID, PikaBot y QakBot (tambi\u00e9n conocido como Qbot).<\/p>\n “TA577, por ejemplo, uno de los distribuidores de Qbot m\u00e1s destacados, volvi\u00f3 a enviar datos de amenazas por correo electr\u00f3nico en septiembre para entregar el malware DarkGate y desde entonces se le ha observado entregando PikaBot en campa\u00f1as que normalmente tienen decenas de miles de mensajes”, dijo Selena Larson, analista senior de inteligencia de amenazas. en Proofpoint, dijo a The Hacker News.<\/p>\n <\/p>\n\n
![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Documentos-senuelo-de-Microsoft-Word-utilizados-para-distribuir-malware-basado.jpg\" "\\"Malware")
<\/a><\/div>\n<\/a><\/center><\/div>\n