{"id":1161312,"date":"2024-01-31T12:07:21","date_gmt":"2024-01-31T12:07:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/empresas-italianas-afectadas-por-usb-armados-que-propagan-malware-de-criptojacking\/"},"modified":"2024-01-31T12:07:25","modified_gmt":"2024-01-31T12:07:25","slug":"empresas-italianas-afectadas-por-usb-armados-que-propagan-malware-de-criptojacking","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/empresas-italianas-afectadas-por-usb-armados-que-propagan-malware-de-criptojacking\/","title":{"rendered":"Empresas italianas afectadas por USB armados que propagan malware de criptojacking"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>31 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Criptomoneda \/ Ciberseguridad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un actor de amenazas con motivaci\u00f3n financiera conocido como UNC4990<\/strong> est\u00e1 aprovechando los dispositivos USB armados como vector de infecci\u00f3n inicial para atacar a organizaciones en Italia.<\/p>\n

Mandiant, propiedad de Google, dijo que los ataques apuntan a m\u00faltiples industrias, incluidas la salud, el transporte, la construcci\u00f3n y la log\u00edstica.<\/p>\n

“Las operaciones UNC4990 generalmente implican una infecci\u00f3n USB generalizada seguida por la implementaci\u00f3n del descargador EMPTYSPACE”, la compa\u00f1\u00eda dicho<\/a> en un informe del martes.<\/p>\n

“Durante estas operaciones, el cl\u00faster depende de sitios web de terceros como GitHub, Vimeo y Ars Technica para alojar etapas adicionales codificadas, que descarga y decodifica a trav\u00e9s de PowerShell en las primeras etapas de la cadena de ejecuci\u00f3n”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Se estima que UNC4990, activo desde finales de 2020, opera fuera de Italia debido al uso extensivo de la infraestructura italiana con fines de comando y control (C2).<\/p>\n

Actualmente no se sabe si UNC4990 funciona \u00fanicamente como facilitador de acceso inicial para otros actores. El objetivo final del actor de la amenaza tampoco est\u00e1 claro, aunque en un caso se dice que se implement\u00f3 un minero de criptomonedas de c\u00f3digo abierto despu\u00e9s de meses de actividad de balizamiento.<\/p>\n

Los detalles de la campa\u00f1a fueron documentados previamente por fortaleza<\/a> y Yoroi<\/a> a principios de diciembre de 2023, y el primero sigui\u00f3 al adversario bajo el nombre de Nebula Broker.<\/p>\n

La infecci\u00f3n comienza cuando una v\u00edctima hace doble clic en un archivo de acceso directo LNK malicioso en un dispositivo USB extra\u00edble, lo que lleva a la ejecuci\u00f3n de un script de PowerShell que es responsable de descargar EMPTYSPACE (tambi\u00e9n conocido como BrokerLoader o Vetta Loader) desde un servidor remoto a trav\u00e9s de otro script de PowerShell intermedio. alojado en Vimeo.<\/p>\n

\"Malware<\/a><\/div>\n

Yoroi dijo que identific\u00f3 cuatro variantes diferentes de EMPTYSPACE escritas en Golang, .NET, Node.js y Python, que posteriormente act\u00faa como un conducto para recuperar cargas \u00fatiles de la siguiente etapa a trav\u00e9s de HTTP desde el servidor C2, incluida una puerta trasera denominada QUIETBOARD.<\/p>\n

Un aspecto notable de esta fase es el uso de sitios populares como Ars Technica, GitHub, GitLab y Vimeo para alojar la carga maliciosa.<\/p>\n

“El contenido alojado en estos servicios no representaba ning\u00fan riesgo directo para los usuarios cotidianos de estos servicios, ya que el contenido alojado de forma aislada era completamente benigno”, dijeron los investigadores de Mandiant. “Cualquiera que haya hecho clic o visto este contenido sin darse cuenta en el pasado no corr\u00eda riesgo de verse comprometido”.<\/p>\n

\"La<\/a><\/center><\/div>\n

QUIETBOARD, por otro lado, es una puerta trasera basada en Python con una amplia gama de caracter\u00edsticas que le permiten ejecutar comandos arbitrarios, alterar direcciones de billeteras criptogr\u00e1ficas copiadas al portapapeles para redirigir transferencias de fondos a billeteras bajo su control y propagar el malware a unidades extra\u00edbles. , tomar capturas de pantalla y recopilar informaci\u00f3n del sistema.<\/p>\n

Adem\u00e1s, la puerta trasera es capaz de expandirse modularmente y ejecutar m\u00f3dulos Python independientes, como mineros de monedas, adem\u00e1s de recuperar y ejecutar din\u00e1micamente c\u00f3digo Python desde el servidor C2.<\/p>\n

“El an\u00e1lisis de EMPTYSPACE y QUIETBOARD sugiere c\u00f3mo los actores de amenazas adoptaron un enfoque modular al desarrollar su conjunto de herramientas”, dijo Mandiant.<\/p>\n

“El uso de m\u00faltiples lenguajes de programaci\u00f3n para crear diferentes versiones del descargador EMPTYSPACE y el cambio de URL cuando se elimin\u00f3 el video de Vimeo muestran una predisposici\u00f3n a la experimentaci\u00f3n y la adaptabilidad por parte de los actores de amenazas”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n