{"id":1144007,"date":"2024-01-20T10:23:35","date_gmt":"2024-01-20T10:23:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/alerta-de-phishing-de-facturas-ta866-implementa-malware-wasabiseed-y-screenshotter\/"},"modified":"2024-01-20T10:23:39","modified_gmt":"2024-01-20T10:23:39","slug":"alerta-de-phishing-de-facturas-ta866-implementa-malware-wasabiseed-y-screenshotter","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/alerta-de-phishing-de-facturas-ta866-implementa-malware-wasabiseed-y-screenshotter\/","title":{"rendered":"Alerta de phishing de facturas: TA866 implementa malware WasabiSeed y Screenshotter"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Alerta-de-phishing-de-facturas-TA866-implementa-malware-WasabiSeed-y.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas rastreado como <strong>TA866<\/strong> ha resurgido despu\u00e9s de una pausa de nueve meses con una nueva campa\u00f1a de phishing de gran volumen para distribuir familias de malware conocidas como WasabiSeed y Screenshotter.<\/p>\n<p>La campa\u00f1a, observada a principios de este mes y bloqueada por Proofpoint el 11 de enero de 2024, implic\u00f3 el env\u00edo de miles de correos electr\u00f3nicos con temas de facturas dirigidos a Am\u00e9rica del Norte con archivos PDF se\u00f1uelo.<\/p>\n<p>&#8220;Los archivos PDF conten\u00edan URL de OneDrive que, al hacer clic, iniciaban una cadena de infecci\u00f3n de varios pasos que eventualmente conduc\u00eda a la carga \u00fatil de malware, una variante del conjunto de herramientas personalizadas WasabiSeed y Screenshotter&#8221;, dijo la firma de seguridad empresarial. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/security-brief-ta866-returns-large-email-campaign\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>TA866 fue documentado por primera vez por la compa\u00f1\u00eda en febrero de 2023, atribuy\u00e9ndolo a una campa\u00f1a llamada Screentime que distribu\u00eda WasabiSeed, un cuentagotas de scripts de Visual Basic que se utiliza para descargar Screenshotter, que es capaz de tomar capturas de pantalla del escritorio de la v\u00edctima a intervalos regulares de tiempo y filtrar esos datos a un dominio controlado por el actor.<\/p>\n<p>Hay evidencia que sugiere que el actor organizado puede estar motivado financieramente debido al hecho de que Screenshotter act\u00faa como una herramienta de reconocimiento para identificar objetivos de alto valor para la post-explotaci\u00f3n y desplegar un robot basado en AutoHotKey (AHK) para finalmente eliminar a los Rhadamanthys. ladr\u00f3n de informaci\u00f3n.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-ataques-DDoS-a-la-industria-de-servicios-medioambientales-aumentaran.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los hallazgos posteriores de la empresa eslovaca de ciberseguridad ESET en junio de 2023 descubrieron superposiciones entre Screentime y otro conjunto de intrusiones denominado Asylum Ambuscade, un grupo de software criminal activo desde al menos 2020 que tambi\u00e9n participa en operaciones de ciberespionaje.<\/p>\n<p>La \u00faltima cadena de ataque permanece pr\u00e1cticamente sin cambios, salvo por el cambio de archivos adjuntos de Publisher habilitados para macros a archivos PDF que llevan un enlace de OneDrive fraudulento, y la campa\u00f1a se basa en un servicio de spam proporcionado por TA571 para distribuir los archivos PDF con trampas explosivas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705746212_999_Alerta-de-phishing-de-facturas-TA866-implementa-malware-WasabiSeed-y.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705746212_999_Alerta-de-phishing-de-facturas-TA866-implementa-malware-WasabiSeed-y.jpg\" alt=\"Alerta de phishing de facturas\" border=\"0\" data-original-height=\"165\" data-original-width=\"728\" title=\"Alerta de phishing de facturas\"\/><\/a><\/div>\n<p>&#8220;TA571 es un distribuidor de spam y este actor env\u00eda campa\u00f1as de correo electr\u00f3nico spam de gran volumen para entregar e instalar una variedad de malware para sus clientes cibercriminales&#8221;, afirm\u00f3 el investigador de Proofpoint, Axel F.<\/p>\n<p>Esto incluye AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (tambi\u00e9n conocido como Qbot) y DarkGate, el \u00faltimo de los cuales permite a los atacantes realizar diversos comandos, como robo de informaci\u00f3n, extracci\u00f3n de criptomonedas y ejecuci\u00f3n de programas arbitrarios.<\/p>\n<p>Splunk, que <a rel=\"nofollow noopener\" href=\"https:\/\/www.splunk.com\/en_us\/blog\/security\/enter-the-gates-an-analysis-of-the-darkgate-autoit-loader.html\" target=\"_blank\">detectado<\/a> En m\u00faltiples campa\u00f1as que implementan un cargador dise\u00f1ado para iniciar DarkGate en puntos finales comprometidos, dichos archivos PDF maliciosos act\u00faan como un soporte para un instalador MSI que ejecuta un archivo gabinete (CAB) para activar la ejecuci\u00f3n de DarkGate a trav\u00e9s del script del cargador AutoIT.<\/p>\n<p>&#8220;Darkgate apareci\u00f3 por primera vez en 2017 y se vende s\u00f3lo a un peque\u00f1o n\u00famero de grupos de ataque en forma de malware como servicio a trav\u00e9s de foros clandestinos&#8221;, afirma la empresa surcoreana de ciberseguridad S2W. <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/s2wblog\/detailed-analysis-of-darkgate-investigating-new-top-trend-backdoor-malware-0545ecf5f606s\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del malware esta semana.<\/p>\n<p>&#8220;DarkGate contin\u00faa actualiz\u00e1ndolo agregando funciones y corrigiendo errores basados \u200b\u200ben los resultados de los an\u00e1lisis de investigadores y proveedores de seguridad&#8221;, destacando los esfuerzos continuos realizados por los adversarios para <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/malware-configuration-extraction-techniques-guloader-redline-stealer\/\" target=\"_blank\">implementar t\u00e9cnicas anti-an\u00e1lisis<\/a> para evitar la detecci\u00f3n.<\/p>\n<p>La noticia del resurgimiento de TA866 llega cuando Cofense revel\u00f3 que los correos electr\u00f3nicos de phishing relacionados con el env\u00edo seleccionan principalmente al sector manufacturero para propagar malware como Agent Tesla y Formbook.<\/p>\n<p>&#8220;Los correos electr\u00f3nicos con temas de env\u00edo aumentan durante las temporadas navide\u00f1as, aunque s\u00f3lo ligeramente&#8221;, afirma Nathaniel Raymond, investigador de seguridad de Cofense. <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/shipping-themed-emails-not-just-for-the-holidays\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Nuevo-JinxLoader-dirigido-a-usuarios-con-malware-Formbook-y-XLoader.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En su mayor parte, las tendencias anuales sugieren que estos correos electr\u00f3nicos siguen una tendencia particular a lo largo del a\u00f1o con distintos grados de vol\u00famenes, siendo los vol\u00famenes m\u00e1s significativos en junio, octubre y noviembre&#8221;.<\/p>\n<p>El desarrollo tambi\u00e9n sigue al descubrimiento de una novedosa t\u00e1ctica de evasi\u00f3n que aprovecha el mecanismo de almacenamiento en cach\u00e9 de los productos de seguridad para sortearlos incorporando una URL de llamado a la acci\u00f3n (CTA) que apunta a un sitio web confiable en el mensaje de phishing enviado al individuo objetivo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705746215_526_Alerta-de-phishing-de-facturas-TA866-implementa-malware-WasabiSeed-y.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705746215_526_Alerta-de-phishing-de-facturas-TA866-implementa-malware-WasabiSeed-y.jpg\" alt=\"Alerta de phishing de facturas\" border=\"0\" data-original-height=\"404\" data-original-width=\"728\" title=\"Alerta de phishing de facturas\"\/><\/a><\/div>\n<p>&#8220;Su estrategia implica almacenar en cach\u00e9 una versi\u00f3n aparentemente benigna del vector de ataque y posteriormente alterarla para entregar una carga \u00fatil maliciosa&#8221;, Trellix <a rel=\"nofollow noopener\" href=\"https:\/\/www.trellix.com\/about\/newsroom\/stories\/research\/saints-turned-evil\/\" target=\"_blank\">dicho<\/a>afirmando que tales ataques se han dirigido de manera desproporcionada a los sectores verticales de servicios financieros, manufactura, comercio minorista y seguros en Italia, Estados Unidos, Francia, Australia e India.<\/p>\n<p>Cuando el motor de seguridad escanea dicha URL, se marca como segura y el veredicto se almacena en su cach\u00e9 durante un tiempo determinado.  Esto tambi\u00e9n significa que si la URL se vuelve a encontrar dentro de ese per\u00edodo de tiempo, la URL no se reprocesa y, en su lugar, se entrega el resultado almacenado en cach\u00e9.<\/p>\n<p>Trellix se\u00f1al\u00f3 que los atacantes se aprovechan de esta peculiaridad esperando hasta que los proveedores de seguridad procesen la URL de la CTA y almacenen en cach\u00e9 su veredicto, y luego alteren el enlace para redirigir a la p\u00e1gina de phishing deseada.<\/p>\n<p>&#8220;Como el veredicto es benigno, el correo electr\u00f3nico llega sin problemas a la bandeja de entrada de la v\u00edctima&#8221;, dijeron los investigadores de seguridad Sushant Kumar Arya, Daksh Kapur y Rohan Shah.  &#8220;Ahora, si el destinatario desprevenido decide abrir el correo electr\u00f3nico y hacer clic en el enlace\/bot\u00f3n dentro de la URL de CTA, ser\u00e1 redirigido a la p\u00e1gina maliciosa&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/invoice-phishing-alert-ta866-deploys.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas rastreado como TA866 ha resurgido despu\u00e9s de una pausa de nueve meses con una<\/p>\n","protected":false},"author":1,"featured_media":1144008,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5172,4661,4664,7392,4662,4881,4668,201033,4669,4654,201031,4659,4653,4655,8178,226483,4666,4665,201032,226481,4660,226482],"class_list":["post-1144007","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-alerta","tag-ataques-ciberneticos","tag-como-hackear","tag-facturas","tag-filtracion-de-datos","tag-implementa","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-phishing","tag-screenshotter","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-ta866","tag-vulnerabilidad-de-software","tag-wasabiseed"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1144007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1144007"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1144007\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1144008"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1144007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1144007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1144007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}