{"id":1204677,"date":"2024-02-26T21:54:54","date_gmt":"2024-02-26T21:54:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/troyanos-bancarios-atacan-america-latina-y-europa-a-traves-de-google-cloud-run\/"},"modified":"2024-02-26T21:54:58","modified_gmt":"2024-02-26T21:54:58","slug":"troyanos-bancarios-atacan-america-latina-y-europa-a-traves-de-google-cloud-run","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/troyanos-bancarios-atacan-america-latina-y-europa-a-traves-de-google-cloud-run\/","title":{"rendered":"Troyanos bancarios atacan Am\u00e9rica Latina y Europa a trav\u00e9s de Google Cloud Run"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Troyanos-bancarios-atacan-America-Latina-y-Europa-a-traves-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad advierten sobre un aumento en las campa\u00f1as de phishing por correo electr\u00f3nico que est\u00e1n utilizando el servicio Google Cloud Run como arma para enviar varios troyanos bancarios como Astaroth (tambi\u00e9n conocido como Guildma), Mekotio y Ousaban (tambi\u00e9n conocido como Javali) a objetivos en Am\u00e9rica Latina (LATAM) y Europa. .<\/p>\n<p>&#8220;Las cadenas de infecci\u00f3n asociadas con estas familias de malware presentan el uso de instaladores de Microsoft (MSI) maliciosos que funcionan como descargadores o descargadores de las cargas \u00fatiles de malware finales&#8221;, investigadores de Cisco Talos <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/google-cloud-run-abuse\/\" target=\"_blank\">revelado<\/a> la semana pasada.<\/p>\n<p>Las campa\u00f1as de distribuci\u00f3n de malware de gran volumen, observadas desde septiembre de 2023, han empleado el mismo dep\u00f3sito de almacenamiento dentro de Google Cloud para la propagaci\u00f3n, lo que sugiere v\u00ednculos potenciales entre los actores de amenazas detr\u00e1s de las campa\u00f1as de distribuci\u00f3n.<\/p>\n<p>Google Cloud Run es una <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/run?hl=en\" target=\"_blank\">plataforma inform\u00e1tica administrada<\/a> que permite a los usuarios ejecutar servicios frontend y backend, trabajos por lotes, implementar sitios web y aplicaciones y poner en cola cargas de trabajo de procesamiento sin tener que administrar o escalar la infraestructura.<\/p>\n<p>&#8220;Los adversarios pueden ver Google Cloud Run como una forma econ\u00f3mica pero efectiva de implementar infraestructura de distribuci\u00f3n en plataformas a las que la mayor\u00eda de las organizaciones probablemente no impiden el acceso de los sistemas internos&#8221;, dijeron los investigadores.<\/p>\n<p>La mayor\u00eda de los sistemas utilizados para enviar mensajes de phishing se originan en Brasil, seguido de Estados Unidos, Rusia, M\u00e9xico, Argentina, Ecuador, Sud\u00e1frica, Francia, Espa\u00f1a y Bangladesh.  Los correos electr\u00f3nicos contienen temas relacionados con facturas o documentos financieros y fiscales, y en algunos casos pretenden ser de agencias tributarias del gobierno local.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/delinea728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708073801_870_Red-del-gobierno-estatal-de-EE-UU-violada-a-traves.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dentro de estos mensajes hay enlaces a un sitio web alojado en ejecuci\u00f3n[.]app, lo que resulta en la entrega de un archivo ZIP que contiene un archivo MSI malicioso, ya sea directamente o mediante redirecciones 302 a una ubicaci\u00f3n de Google Cloud Storage, donde se almacena el instalador.<\/p>\n<p>Tambi\u00e9n se ha observado que los actores de amenazas intentan evadir la detecci\u00f3n utilizando trucos de geocerca al redirigir a los visitantes a estas URL a un sitio leg\u00edtimo como Google cuando acceden a ellos con una direcci\u00f3n IP de EE. UU.<\/p>\n<p>Adem\u00e1s de aprovechar la misma infraestructura para distribuir tanto Mekotio como Astaroth, la cadena de infecci\u00f3n asociada con este \u00faltimo act\u00faa como un conducto para distribuir Ousaban.<\/p>\n<p>Astaroth, Mekotio y Ousaban est\u00e1n dise\u00f1ados para identificar instituciones financieras, controlar la actividad de navegaci\u00f3n web de los usuarios, as\u00ed como registrar las pulsaciones de teclas y tomar capturas de pantalla en caso de que uno de los sitios web del banco objetivo est\u00e9 abierto.<\/p>\n<p>Ousaban tiene una historia de <a rel=\"nofollow noopener\" href=\"https:\/\/www.netskope.com\/blog\/ousaban-latam-banking-malware-abusing-cloud-services\" target=\"_blank\">convertir los servicios en la nube en armas<\/a> a su favor, ya que anteriormente hab\u00eda empleado Amazon S3 y Microsoft Azure para descargar cargas \u00fatiles de segunda etapa, y Google Docs para recuperar la configuraci\u00f3n de comando y control (C2).<\/p>\n<p>El desarrollo se produce en medio de campa\u00f1as de phishing que propagan familias de malware como <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/from-onlydcratfans-to-remcosrat\" target=\"_blank\">DCRat, Remcos RAT<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/www.esentire.com\/blog\/technical-analysis-of-darkvnc\" target=\"_blank\">oscurovnc<\/a> que son capaces de recopilar datos confidenciales y tomar el control de hosts comprometidos.<\/p>\n<p>Tambi\u00e9n sigue a un aumento en los actores de amenazas que implementan c\u00f3digos QR en ataques de phishing y basados \u200b\u200ben correo electr\u00f3nico (tambi\u00e9n conocidos como quishing) para enga\u00f1ar a v\u00edctimas potenciales para que instalen malware en sus dispositivos m\u00f3viles.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708984493_483_Troyanos-bancarios-atacan-America-Latina-y-Europa-a-traves-de.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708984493_483_Troyanos-bancarios-atacan-America-Latina-y-Europa-a-traves-de.jpg\" alt=\"Troyano bancario\" border=\"0\" data-original-height=\"450\" data-original-width=\"728\" title=\"Troyano bancario\"\/><\/a><\/div>\n<p>&#8220;En un ataque separado, los adversarios enviaron a los objetivos correos electr\u00f3nicos de phishing con c\u00f3digos QR maliciosos que apuntaban a p\u00e1ginas de inicio de sesi\u00f3n falsas de Microsoft Office 365 que eventualmente roban las credenciales de inicio de sesi\u00f3n del usuario cuando ingresan&#8221;, Talos <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/how-are-attackers-using-qr-codes-in-phishing-emails-and-lure-documents\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Los ataques con c\u00f3digos QR son particularmente peligrosos porque mueven el vector de ataque de una computadora protegida al dispositivo m\u00f3vil personal del objetivo, que generalmente tiene menos protecciones de seguridad y, en \u00faltima instancia, tiene la informaci\u00f3n confidencial que buscan los atacantes&#8221;.<\/p>\n<p>Las campa\u00f1as de phishing tambi\u00e9n han puesto sus ojos en el sector del petr\u00f3leo y el gas para desplegar un ladr\u00f3n de informaci\u00f3n llamado Rhadamanthys, que actualmente ha alcanzado la versi\u00f3n 0.6.0, destacando un <a rel=\"nofollow noopener\" href=\"https:\/\/cyberint.com\/blog\/research\/blink-and-update-all-about-rhadamanthys-stealer\/\" target=\"_blank\">flujo constante de parches y actualizaciones<\/a> por sus desarrolladores.<\/p>\n<p>&#8220;La campa\u00f1a comienza con un correo electr\u00f3nico de phishing que utiliza un informe de incidente de veh\u00edculo para atraer a las v\u00edctimas a interactuar con un enlace incrustado que abusa de una redirecci\u00f3n abierta en un dominio leg\u00edtimo, principalmente Google Maps o Google Im\u00e1genes&#8221;, Cofense <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/new-maas-infostealer-malware-campaign-targeting-oil-gas-sector\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707935543_510_La-herramienta-comando-no-encontrado-de-Ubuntu-podria-enganar-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los usuarios que hacen clic en el enlace son redirigidos a un sitio web que aloja un archivo PDF falso, que, en realidad, es una imagen en la que se puede hacer clic que se comunica con un repositorio de GitHub y descarga un archivo ZIP que contiene el ejecutable del ladr\u00f3n.<\/p>\n<p>&#8220;Una vez que una v\u00edctima intenta interactuar con el ejecutable, el malware se descomprimir\u00e1 e iniciar\u00e1 una conexi\u00f3n con una ubicaci\u00f3n de comando y control (C2) que recopila credenciales robadas, billeteras de criptomonedas u otra informaci\u00f3n confidencial&#8221;, agreg\u00f3 la compa\u00f1\u00eda.<\/p>\n<p>Otras campa\u00f1as han abusado de herramientas de marketing por correo electr\u00f3nico como SendGrid de Twilio para obtener listas de correo de clientes y aprovechar credenciales robadas para enviar correos electr\u00f3nicos de phishing de apariencia convincente, seg\u00fan Kaspersky.<\/p>\n<p>&#8220;Lo que hace que esta campa\u00f1a sea especialmente insidiosa es que los correos electr\u00f3nicos de phishing eluden las medidas de seguridad tradicionales&#8221;, afirma la empresa rusa de ciberseguridad. <a rel=\"nofollow noopener\" href=\"https:\/\/www.kaspersky.com\/blog\/sendgrid-credentials-phishing\/50662\/\" target=\"_blank\">anotado<\/a>.  &#8220;Dado que se env\u00edan a trav\u00e9s de un servicio leg\u00edtimo y no contienen signos evidentes de phishing, pueden evadir la detecci\u00f3n mediante filtros autom\u00e1ticos&#8221;.<\/p>\n<p>Estas actividades de phishing se ven impulsadas a\u00fan m\u00e1s por la f\u00e1cil disponibilidad de kits de phishing como Greatness y Tycoon, que se han convertido en un medio rentable y escalable para que los aspirantes a ciberdelincuentes monten campa\u00f1as maliciosas.<\/p>\n<p>&#8220;Grupo magnate [phishing-as-a-service] se vende y comercializa en Telegram por tan s\u00f3lo 120 d\u00f3lares&#8221;, afirma el investigador de Trustwave SpiderLabs, Rodel Mendrez. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/breakdown-of-tycoon-phishing-as-a-service-system\/\" target=\"_blank\">dicho<\/a> la semana pasada, se\u00f1alando que el servicio entr\u00f3 en funcionamiento alrededor de agosto de 2023.<\/p>\n<p>&#8220;Sus caracter\u00edsticas clave de venta incluyen la capacidad de eludir la autenticaci\u00f3n de dos factores de Microsoft, lograr &#8216;velocidad de enlace al m\u00e1s alto nivel&#8217; y aprovechar Cloudflare para evadir las medidas antibot, asegurando la persistencia de enlaces de phishing no detectados&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/banking-trojans-target-latin-america.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad advierten sobre un aumento en las campa\u00f1as de phishing por correo electr\u00f3nico que est\u00e1n<\/p>\n","protected":false},"author":1,"featured_media":1204678,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5007,6350,4661,33197,33285,4664,348,4662,8666,4668,201033,24367,4654,201031,4659,4653,4655,35559,4666,4665,201032,116,74746,4660],"class_list":["post-1204677","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-america","tag-atacan","tag-ataques-ciberneticos","tag-bancarios","tag-cloud","tag-como-hackear","tag-europa","tag-filtracion-de-datos","tag-google","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-latina","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-run","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-traves","tag-troyanos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1204677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1204677"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1204677\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1204678"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1204677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1204677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1204677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}