Investigadores de ciberseguridad han detectado un ataque de phishing que distribuye el malware More_eggs haci\u00e9ndolo pasar por un curr\u00edculum, una t\u00e9cnica detectada originalmente hace m\u00e1s de dos a\u00f1os.<\/p>\n
El ataque, que no tuvo \u00e9xito, tuvo como objetivo una empresa an\u00f3nima del sector de servicios industriales en mayo de 2024, seg\u00fan la empresa canadiense de ciberseguridad eSentire. revelado<\/a> la semana pasada.<\/p>\n “Espec\u00edficamente, el individuo objetivo era un reclutador que fue enga\u00f1ado por el actor de amenazas haci\u00e9ndole creer que era un solicitante de empleo y lo atrajo a su sitio web para descargar el cargador”, dijo.<\/p>\n More_eggs, que se cree que es obra de un actor de amenazas conocido como Golden Chickens (tambi\u00e9n conocido como Venom Spider), es una puerta trasera modular capaz de recopilar informaci\u00f3n confidencial. Se ofrece a otros actores criminales bajo un modelo de malware como servicio (MaaS).<\/p>\n El a\u00f1o pasado, eSentire desenmascar\u00f3 las identidades reales de dos personas, Chuck de Montreal y Jack, que se dice que dirigen la operaci\u00f3n.<\/p>\n La \u00faltima cadena de ataques implica que actores maliciosos respondan a ofertas de trabajo de LinkedIn con un enlace a un sitio de descarga de curr\u00edculum falso que resulta en la descarga de un archivo de acceso directo de Windows (LNK) malicioso.<\/p>\n Vale la pena se\u00f1alar que la actividad anterior de More_eggs se ha dirigido a profesionales en LinkedIn con ofertas de trabajo armadas para enga\u00f1arlos y descargar el malware.<\/p>\n “Navegar a la misma URL d\u00edas despu\u00e9s da como resultado el curr\u00edculum del individuo en HTML simple, sin indicaci\u00f3n de redireccionamiento o descarga”, se\u00f1al\u00f3 eSentire.<\/p>\n Luego, el archivo LNK se usa para recuperar una DLL maliciosa aprovechando un programa leg\u00edtimo de Microsoft llamado ie4uinit.exe, despu\u00e9s de lo cual la biblioteca se ejecuta usando regsvr32.exe para establecer persistencia, recopilar datos sobre el host infectado y eliminar cargas \u00fatiles adicionales, incluido el Basado en JavaScript More_huevos puerta trasera<\/a>.<\/p>\n “Las campa\u00f1as de More_eggs todav\u00eda est\u00e1n activas y sus operadores contin\u00faan utilizando t\u00e1cticas de ingenier\u00eda social, como hacerse pasar por solicitantes de empleo que buscan postularse para un puesto particular y atraer a las v\u00edctimas (espec\u00edficamente a los reclutadores) para que descarguen su malware”, dijo eSentire.<\/p>\n “Adem\u00e1s, campa\u00f1as como more_eggs, que utilizan la oferta MaaS, parecen ser escasas y selectivas en comparaci\u00f3n con las t\u00edpicas redes de distribuci\u00f3n de malspam”.<\/p>\n El desarrollo se produce cuando la firma de ciberseguridad tambi\u00e9n revel\u00f3 detalles de una campa\u00f1a de descarga no autorizada que emplea sitios web falsos para que la herramienta activadora de Windows KMSPico distribuya Vidar Stealer.<\/p>\n “El kmspico[.]El sitio ws est\u00e1 alojado detr\u00e1s de Cloudflare Turnstile y requiere entrada humana (ingresando un c\u00f3digo) para descargar el paquete ZIP final”, eSentire anotado<\/a>. “Estos pasos son inusuales para una p\u00e1gina de descarga de aplicaciones leg\u00edtima y se realizan para ocultar la p\u00e1gina y la carga \u00fatil final de los rastreadores web automatizados”.<\/p>\n Campa\u00f1as similares de ingenier\u00eda social tambi\u00e9n han creado sitios similares que se hacen pasar por software leg\u00edtimo como Advanced IP Scanner para implementar Cobalt Strike y Trustwave SpiderLabs. dicho<\/a> la semana pasada.<\/p>\n Tambi\u00e9n sigue a la aparici\u00f3n de un nuevo kit de phishing llamado V3B que se ha utilizado para identificar a los clientes bancarios en la Uni\u00f3n Europea con el objetivo de robar credenciales y contrase\u00f1as de un solo uso (OTP).<\/p>\n Se dice que el kit, que se ofrece por entre $ 130 y $ 450 por mes a trav\u00e9s de un modelo de phishing como servicio (PhaaS) a trav\u00e9s de la web oscura y un canal dedicado de Telegram, ha estado activo desde marzo de 2023. Est\u00e1 dise\u00f1ado para admitir a m\u00e1s de 54 bancos. ubicadas en Austria, B\u00e9lgica, Finlandia, Francia, Alemania, Grecia, Irlanda, Italia, Luxemburgo y los Pa\u00edses Bajos.<\/p>\n El aspecto m\u00e1s importante de V3B es que presenta plantillas personalizadas y localizadas para imitar varios procesos de autenticaci\u00f3n y verificaci\u00f3n comunes a los sistemas de comercio electr\u00f3nico y banca en l\u00ednea de la regi\u00f3n.<\/p>\n Tambi\u00e9n viene con capacidades avanzadas para interactuar con las v\u00edctimas en tiempo real y obtener su OTP y FotoTAN<\/a> c\u00f3digos, as\u00ed como ejecutar un secuestro de inicio de sesi\u00f3n con c\u00f3digo QR (tambi\u00e9n conocido como QRLjacking<\/a>) ataque a servicios como WhatsApp que permiten iniciar sesi\u00f3n mediante c\u00f3digos QR.<\/p>\n “Desde entonces han construido una base de clientes centrada en las instituciones financieras europeas”, Resecurity dicho<\/a>. “Actualmente, se estima que cientos de ciberdelincuentes est\u00e1n utilizando este kit para cometer fraudes, dejando a las v\u00edctimas con cuentas bancarias vac\u00edas”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/More_eggs-Malware-disfrazado-de-curriculums-apunta-a-reclutadores-en-un.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n