{"id":1188315,"date":"2024-02-16T16:32:25","date_gmt":"2024-02-16T16:32:25","guid":{"rendered":"https:\/\/teknomers.com\/es\/rustdoor-macos-backdoor-apunta-a-empresas-de-criptomonedas-con-ofertas-de-trabajo-falsas\/"},"modified":"2024-02-16T16:32:30","modified_gmt":"2024-02-16T16:32:30","slug":"rustdoor-macos-backdoor-apunta-a-empresas-de-criptomonedas-con-ofertas-de-trabajo-falsas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/rustdoor-macos-backdoor-apunta-a-empresas-de-criptomonedas-con-ofertas-de-trabajo-falsas\/","title":{"rendered":"RustDoor macOS Backdoor apunta a empresas de criptomonedas con ofertas de trabajo falsas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad de endpoints\/criptomonedas <\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Varias empresas que operan en el sector de las criptomonedas son el objetivo de una campa\u00f1a de malware en curso que involucra una puerta trasera de Apple macOS recientemente descubierta con el nombre en c\u00f3digo RustDoor.<\/p>\n

RustDoor fue documentado por primera vez por Bitdefender la semana pasada, describi\u00e9ndolo como un malware basado en Rust capaz de recolectar y cargar archivos, as\u00ed como de recopilar informaci\u00f3n sobre las m\u00e1quinas infectadas. Se distribuye haci\u00e9ndose pasar por una actualizaci\u00f3n de Visual Studio.<\/p>\n

Si bien la evidencia anterior descubri\u00f3 al menos tres variantes diferentes de la puerta trasera, el mecanismo de propagaci\u00f3n inicial exacto segu\u00eda siendo desconocido.<\/p>\n

Dicho esto, la empresa rumana de ciberseguridad le dijo posteriormente a The Hacker News que el malware se utiliz\u00f3 como parte de un ataque dirigido en lugar de una campa\u00f1a de distribuci\u00f3n de escopeta, y se\u00f1al\u00f3 que encontr\u00f3 artefactos adicionales que son responsables de descargar y ejecutar RustDoor.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Algunos de estos descargadores de primera etapa afirman ser archivos PDF con ofertas de trabajo, pero en realidad son scripts que descargan y ejecutan el malware mientras tambi\u00e9n descargan y abren un archivo PDF inofensivo que se anuncia como un acuerdo de confidencialidad”, Bogdan Botezatu, director de investigaci\u00f3n e informes de amenazas en Bitdefender, dijo.<\/p>\n

Desde entonces, han salido a la luz tres muestras maliciosas m\u00e1s que act\u00faan como cargas \u00fatiles de primera etapa, cada una de las cuales pretende ser una oferta de trabajo. Estos archivos ZIP son casi un mes anteriores a los binarios anteriores de RustDoor.<\/p>\n

El nuevo componente de la cadena de ataque, es decir, los archivos (“Jobinfo.app.zip” o “Jobinfo.zip”), contiene un script de shell b\u00e1sico que es responsable de recuperar el implante de un sitio web llamado turkishfurniture.[.]Blog. Tambi\u00e9n est\u00e1 dise\u00f1ado para obtener una vista previa de un archivo PDF se\u00f1uelo inofensivo (“job.pdf”) alojado en el mismo sitio como distracci\u00f3n.<\/p>\n

\"Ofertas<\/a><\/div>\n

Bitdefender dicho<\/a> Tambi\u00e9n detect\u00f3 cuatro nuevos binarios basados \u200b\u200ben Golang que se comunican con un dominio controlado por el actor (“sarkerrentacars[.]com”), cuyo prop\u00f3sito es “recopilar informaci\u00f3n sobre la m\u00e1quina de la v\u00edctima y sus conexiones de red utilizando las utilidades system_profiler y networksetup, que forman parte del sistema operativo macOS.<\/p>\n

Adem\u00e1s, los binarios son capaces de extraer detalles sobre el disco a trav\u00e9s de la “lista diskutil”, as\u00ed como recuperar una amplia lista de par\u00e1metros del kernel y valores de configuraci\u00f3n usando el comando “sysctl -a”.<\/p>\n

Una investigaci\u00f3n m\u00e1s detallada de la infraestructura de comando y control (C2) tambi\u00e9n ha revelado un punto final con fugas (“\/client\/bots”) que permite obtener detalles sobre las v\u00edctimas actualmente infectadas, incluidas las marcas de tiempo en las que se registr\u00f3 el host infectado. y se observ\u00f3 la \u00faltima actividad.<\/p>\n

“Sabemos que hasta ahora hay al menos tres empresas v\u00edctimas”, dijo Botezatu. “Los atacantes parecen apuntar al personal de ingenier\u00eda superior, y esto explica por qu\u00e9 el malware est\u00e1 disfrazado como una actualizaci\u00f3n de Visual Studio. No sabemos si hay otras empresas comprometidas en este momento, pero todav\u00eda estamos investigando esto”.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Parece que las v\u00edctimas est\u00e1n efectivamente vinculadas geogr\u00e1ficamente: dos de las v\u00edctimas est\u00e1n en Hong Kong, mientras que la otra est\u00e1 en Lagos, Nigeria”.<\/p>\n

El desarrollo se produce cuando el Servicio de Inteligencia Nacional (NIS) de Corea del Sur revel\u00f3<\/a> que una organizaci\u00f3n de TI afiliada a la Oficina No. 39 del Partido de los Trabajadores de Corea del Norte est\u00e1 generando ingresos il\u00edcitos mediante venta<\/a> miles de sitios web de juegos de azar plagados de malware a otros ciberdelincuentes para robar datos confidenciales de jugadores desprevenidos.<\/p>\n

La empresa detr\u00e1s del esquema de malware como servicio (MaaS) es Gyeongheung (tambi\u00e9n escrito Gyonghung), una entidad de 15 miembros con sede en Dandong que supuestamente recibi\u00f3 5.000 d\u00f3lares de una organizaci\u00f3n criminal surcoreana no identificada a cambio de crear un \u00fanico sitio web. y 3.000 d\u00f3lares al mes para el mantenimiento del sitio web, Agencia de Noticias Yonhap reportado<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n