{"id":1183424,"date":"2024-02-13T19:29:23","date_gmt":"2024-02-13T19:29:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/pikabot-resurge-con-codigo-simplificado-y-tacticas-enganosas\/"},"modified":"2024-02-13T19:29:27","modified_gmt":"2024-02-13T19:29:27","slug":"pikabot-resurge-con-codigo-simplificado-y-tacticas-enganosas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/pikabot-resurge-con-codigo-simplificado-y-tacticas-enganosas\/","title":{"rendered":"PikaBot resurge con c\u00f3digo simplificado y t\u00e1cticas enga\u00f1osas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Amenaza cibern\u00e9tica\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas detr\u00e1s del malware PikaBot han realizado cambios significativos en el malware en lo que se ha descrito como un caso de “devoluci\u00f3n”.<\/p>\n

“Aunque parece estar en un nuevo ciclo de desarrollo y fase de prueba, los desarrolladores han reducido la complejidad del c\u00f3digo eliminando t\u00e9cnicas avanzadas de ofuscaci\u00f3n y cambiando las comunicaciones de la red”, dijo Nikolaos Pantazopoulos, investigador de Zscaler ThreatLabz. dicho<\/a>.<\/p>\n

PikaBot, documentado por primera vez por la empresa de ciberseguridad en mayo de 2023, es un cargador de malware y una puerta trasera que puede ejecutar comandos e inyectar cargas \u00fatiles desde un servidor de comando y control (C2), adem\u00e1s de permitir al atacante controlar el host infectado.<\/p>\n

\"La<\/a><\/center><\/div>\n

Tambi\u00e9n se sabe que detiene su ejecuci\u00f3n si el idioma del sistema es ruso o ucraniano, lo que indica que los operadores tienen su sede en Rusia o Ucrania.<\/p>\n

En los \u00faltimos meses, tanto PikaBot como otro cargador llamado DarkGate han surgido como reemplazos atractivos para que actores de amenazas como Water Curupira (tambi\u00e9n conocido como TA577) obtengan acceso inicial a las redes objetivo a trav\u00e9s de campa\u00f1as de phishing y eliminen Cobalt Strike.<\/p>\n

El an\u00e1lisis de Zscaler de una nueva versi\u00f3n de PikaBot (versi\u00f3n 1.18.32) observado este mes ha revelado su continuo enfoque en la ofuscaci\u00f3n, aunque con algoritmos de cifrado m\u00e1s simples, y la inserci\u00f3n de c\u00f3digo basura entre instrucciones v\u00e1lidas como parte de sus esfuerzos por resistir el an\u00e1lisis.<\/p>\n

Otra modificaci\u00f3n crucial observada en la \u00faltima versi\u00f3n es que toda la configuraci\u00f3n del bot, que es similar a la de QakBot, se almacena en texto plano en un \u00fanico bloque de memoria en lugar de cifrar cada elemento y decodificarlos en tiempo de ejecuci\u00f3n.<\/p>\n

Un tercer cambio se refiere a las comunicaciones de la red del servidor C2, en el que los desarrolladores de malware modifican los ID de los comandos y el algoritmo de cifrado utilizado para proteger el tr\u00e1fico.<\/p>\n

“A pesar de su reciente inactividad, PikaBot sigue siendo una amenaza cibern\u00e9tica importante y en constante desarrollo”, concluyeron los investigadores.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Sin embargo, los desarrolladores han decidido adoptar un enfoque diferente y disminuir el nivel de complejidad del c\u00f3digo de PikaBot eliminando funciones avanzadas de ofuscaci\u00f3n”.<\/p>\n

El desarrollo llega como Proofpoint. alertado<\/a> de una campa\u00f1a de adquisici\u00f3n de cuentas en la nube (ATO) en curso que se ha dirigido a docenas de entornos de Microsoft Azure y ha comprometido cientos de cuentas de usuarios, incluidas aquellas que pertenecen a altos ejecutivos.<\/p>\n

La actividad, en marcha desde noviembre de 2023, selecciona a los usuarios con se\u00f1uelos de phishing individualizados que llevan archivos se\u00f1uelo que contienen enlaces a p\u00e1ginas web de phishing maliciosas para la recolecci\u00f3n de credenciales y los utilizan para la posterior exfiltraci\u00f3n de datos, phishing interno y externo y fraude financiero.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n