El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 que m\u00e1s de 2.000 computadoras en el pa\u00eds han sido infectadas por una cepa de malware llamada DirtyMoe.<\/p>\n
La agencia atribuido<\/a> la campa\u00f1a a un actor de amenaza al que llama UAC-0027<\/strong>.<\/p>\n DirtyMoe, activo desde al menos 2016, es capaz de llevar a cabo cryptojacking y ataques distribuidos de denegaci\u00f3n de servicio (DDoS). En marzo de 2022, la empresa de ciberseguridad Avast revel\u00f3 la capacidad del malware para propagarse en forma de gusano aprovechando fallas de seguridad conocidas.<\/p>\n Se sabe que la botnet DDoS se distribuye mediante otro malware denominado Purple Fox o mediante paquetes de instalaci\u00f3n MSI falsos para software popular como Telegram. Zorro P\u00farpura tambi\u00e9n es equipado con un rootkit<\/a> que permite a los actores de amenazas ocultar el malware<\/a> en la m\u00e1quina y dificultan su detecci\u00f3n y eliminaci\u00f3n.<\/p>\n Actualmente se desconoce el vector de acceso inicial exacto utilizado en la campa\u00f1a dirigida a Ucrania. CERT-UA recomienda que las organizaciones mantengan sus sistemas actualizados, apliquen la segmentaci\u00f3n de la red y supervisen el tr\u00e1fico de la red para detectar cualquier actividad an\u00f3mala.<\/p>\n La divulgaci\u00f3n se produce cuando Securonix detall\u00f3 una campa\u00f1a de phishing en curso conocida como STEADY#URSA dirigida al personal militar ucraniano con el objetivo de ofrecer una puerta trasera PowerShell personalizada denominada SUBTLE-PAWS.<\/p>\n “La cadena de explotaci\u00f3n es relativamente simple: implica que el objetivo ejecute un archivo de acceso directo malicioso (.lnk) que carga y ejecuta un nuevo c\u00f3digo de carga \u00fatil de puerta trasera de PowerShell (que se encuentra dentro de otro archivo contenido en el mismo archivo)”, investigadores de seguridad Den Iuzvyk, Tim. Peck y Oleg Kolesnikov dicho<\/a>.<\/p>\n Se dice que el ataque est\u00e1 relacionado con un actor de amenazas conocido como Shuckworm, que tambi\u00e9n se conoce como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder. Activo desde al menos 2013, se considera que forma parte del Servicio Federal de Seguridad (FSB) de Rusia.<\/p>\n SUBTLE-PAWS, adem\u00e1s de configurar la persistencia en el host, utiliza la plataforma de blogs de Telegram llamada Telegraph para recuperar la informaci\u00f3n de comando y control (C2), una t\u00e9cnica previamente identificada como asociada con el adversario desde principios de 2023, y que puede propagarse a trav\u00e9s de unidades extra\u00edbles conectadas.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-malware-DirtyMoe-infecta-mas-de-2000-computadoras-ucranianas-mediante.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n