{"id":1185244,"date":"2024-02-14T21:06:41","date_gmt":"2024-02-14T21:06:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-bumblebee-regresa-con-nuevos-trucos-dirigidos-a-empresas-estadounidenses\/"},"modified":"2024-02-14T21:06:45","modified_gmt":"2024-02-14T21:06:45","slug":"el-malware-bumblebee-regresa-con-nuevos-trucos-dirigidos-a-empresas-estadounidenses","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-bumblebee-regresa-con-nuevos-trucos-dirigidos-a-empresas-estadounidenses\/","title":{"rendered":"El malware Bumblebee regresa con nuevos trucos dirigidos a empresas estadounidenses"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Malware\/Cibercrimen<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-malware-Bumblebee-regresa-con-nuevos-trucos-dirigidos-a-empresas.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El infame cargador de malware y agente de acceso inicial conocido como <strong>Abejorro<\/strong> ha resurgido despu\u00e9s de una ausencia de cuatro meses como parte de una nueva campa\u00f1a de phishing observada en febrero de 2024.<\/p>\n<p>La firma de seguridad empresarial Proofpoint dijo que la actividad se dirige a organizaciones en los EE. UU. con se\u00f1uelos con temas de correo de voz que contienen enlaces a URL de OneDrive.<\/p>\n<p>&#8220;Las URL conduc\u00edan a un archivo de Word con nombres como &#8220;ReleaseEvans#96.docm&#8221; (los d\u00edgitos antes de la extensi\u00f3n del archivo variaban)&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/bumblebee-buzzes-back-black\" target=\"_blank\">dicho<\/a> en un informe del martes.  &#8220;El documento de Word falsific\u00f3 a la empresa de electr\u00f3nica de consumo Humane&#8221;.<\/p>\n<p>Al abrir el documento se aprovechan las macros de VBA para iniciar un comando de PowerShell para descargar y ejecutar otro script de PowerShell desde un servidor remoto que, a su vez, recupera y ejecuta el cargador de Bumblebee.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-malware-Bumblebee-regresa-con-nuevos-trucos-dirigidos-a-empresas.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bumblebee, detectado por primera vez en marzo de 2022, est\u00e1 dise\u00f1ado principalmente para descargar y ejecutar cargas \u00fatiles posteriores, como ransomware.  Ha sido utilizado por m\u00faltiples actores de amenazas de crimeware que previamente observaron la entrega de BazaLoader (tambi\u00e9n conocido como BazarLoader) y IcedID.<\/p>\n<p>Tambi\u00e9n se sospecha que fue desarrollado por actores de amenazas, el sindicato de delitos cibern\u00e9ticos Conti y TrickBot, como reemplazo de BazarLoader.  En septiembre de 2023, Intel 471 revel\u00f3 una campa\u00f1a de distribuci\u00f3n de Bumblebee que empleaba servidores Web Distributed Authoring and Versioning (WebDAV) para difundir el cargador.<\/p>\n<p>La cadena de ataque se destaca por su dependencia de documentos habilitados para macros en la cadena de ataque, especialmente considerando que Microsoft comenz\u00f3 a bloquear macros en archivos de Office descargados de Internet de forma predeterminada a partir de julio de 2022, lo que llev\u00f3 a los actores de amenazas a modificar y diversificar sus enfoques.<\/p>\n<p>El regreso de Bumblebee tambi\u00e9n coincide con la reaparici\u00f3n de nuevas variantes de QakBot, ZLoader y PikaBot, con muestras de QakBot distribuidas en forma de archivos Microsoft Software Installer (MSI).<\/p>\n<p>&#8220;El .MSI coloca un archivo .cab (Cabinet) de Windows, que a su vez contiene una DLL&#8221;, dice la empresa de ciberseguridad Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/infosec.exchange\/@SophosXOps\/111925140107889131\" target=\"_blank\">dicho<\/a> en Mastodonte.  &#8220;El .MSI extrae la DLL del .cab y la ejecuta usando el c\u00f3digo shell. El c\u00f3digo shell hace que la DLL genere una segunda copia de s\u00ed misma e inyecte el c\u00f3digo del bot en el espacio de memoria de la segunda instancia&#8221;.<\/p>\n<p>Se ha descubierto que los \u00faltimos artefactos de QakBot refuerzan el cifrado utilizado para ocultar cadenas y otra informaci\u00f3n, incluido el empleo de un malware de cifrado llamado DaveCrypter, lo que hace que su an\u00e1lisis sea m\u00e1s dif\u00edcil.  La nueva generaci\u00f3n tambi\u00e9n restablece la capacidad de detectar si el malware se estaba ejecutando dentro de una m\u00e1quina virtual o sandbox.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707935543_510_La-herramienta-comando-no-encontrado-de-Ubuntu-podria-enganar-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Otra modificaci\u00f3n crucial incluye cifrar todas las comunicaciones entre el malware y el servidor de comando y control (C2) utilizando AES-256, un m\u00e9todo m\u00e1s potente que el utilizado en versiones anteriores al desmantelamiento de la infraestructura de QakBot a finales de agosto de 2023.<\/p>\n<p>&#8220;La eliminaci\u00f3n de la infraestructura de la botnet QakBot fue una victoria, pero los creadores del bot siguen libres, y alguien que tiene acceso al c\u00f3digo fuente original de QakBot ha estado experimentando con nuevas versiones y probando el terreno con estas \u00faltimas variantes&#8221;, dijo Andrew Brandt, investigador principal. en Sophos X-Ops, dijo.<\/p>\n<p>&#8220;Uno de los cambios m\u00e1s notables implica un cambio en el algoritmo de cifrado que utiliza el bot para ocultar las configuraciones predeterminadas codificadas en el bot, lo que hace m\u00e1s dif\u00edcil para los analistas ver c\u00f3mo opera el malware; los atacantes tambi\u00e9n est\u00e1n restaurando caracter\u00edsticas previamente obsoletas, como conocimiento de las m\u00e1quinas virtuales (VM) y probarlas en estas nuevas versiones&#8221;.<\/p>\n<p>QakBot tambi\u00e9n se ha convertido en el <a rel=\"nofollow noopener\" href=\"https:\/\/blog.checkpoint.com\/research\/january-2024s-most-wanted-malware-major-vextrio-broker-operation-uncovered-and-lockbit3-tops-the-ransomware-threats\/\" target=\"_blank\">segundo malware m\u00e1s frecuente<\/a> para enero de 2024, detr\u00e1s de FakeUpdates (tambi\u00e9n conocido como SocGholish) pero por delante de otras familias como Formbook, Nanocore, AsyncRAT, Remcos RAT y Agent Tesla.<\/p>\n<p>El desarrollo llega como Malwarebytes <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2024\/02\/remote-monitoring-management-software-used-in-phishing-attacks\" target=\"_blank\">revel\u00f3<\/a> una nueva campa\u00f1a en la que los sitios de phishing que imitan a instituciones financieras como Barclays enga\u00f1an a objetivos potenciales para que descarguen software de escritorio remoto leg\u00edtimo como AnyDesk para supuestamente resolver problemas inexistentes y, en \u00faltima instancia, permitir que los actores de amenazas obtengan el control de la m\u00e1quina.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/bumblebee-malware-returns-with-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 de febrero de 2024\ue804Sala de redacci\u00f3nMalware\/Cibercrimen El infame cargador de malware y agente de acceso inicial conocido<\/p>\n","protected":false},"author":1,"featured_media":1185245,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,57147,4664,99,34682,3581,833,4662,4668,201033,4669,4654,201031,4659,4653,4655,2431,6805,4666,4665,201032,18962,4660],"class_list":["post-1185244","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-bumblebee","tag-como-hackear","tag-con","tag-dirigidos","tag-empresas","tag-estadounidenses","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-regresa","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-trucos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1185244","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1185244"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1185244\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1185245"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1185244"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1185244"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1185244"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}