Los actores de amenazas est\u00e1n atrayendo a usuarios desprevenidos con versiones gratuitas o pirateadas de software comercial para entregar un cargador de malware llamado Hijack Loader, que luego implementa un ladr\u00f3n de informaci\u00f3n conocido como Vidar Stealer.<\/p>\n
“Los adversarios hab\u00edan logrado enga\u00f1ar a los usuarios para que descargaran archivos protegidos con contrase\u00f1a que conten\u00edan copias troyanizadas de una aplicaci\u00f3n Cisco Webex Meetings (ptService.exe)”, Ale Houspanossian, investigador de seguridad de Trellix. dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n “Cuando las v\u00edctimas desprevenidas extrajeron y ejecutaron un archivo binario ‘Setup.exe’, la aplicaci\u00f3n Cisco Webex Meetings carg\u00f3 de forma encubierta un cargador de malware sigiloso, lo que llev\u00f3 a la ejecuci\u00f3n de un m\u00f3dulo de robo de informaci\u00f3n”.<\/p>\n El punto de partida es un archivo RAR que contiene un nombre ejecutable “Setup.exe”, pero en realidad es una copia del m\u00f3dulo ptService de Cisco Webex Meetings.<\/p>\n Lo que hace que la campa\u00f1a sea notable es el uso de T\u00e9cnicas de carga lateral de DLL<\/a> para iniciar sigilosamente Hijack Loader (tambi\u00e9n conocido como DOILoader o IDAT Loader), que luego act\u00faa como un conducto para soltar Vidar Stealer mediante un script AutoIt.<\/p>\n “El malware emplea una t\u00e9cnica conocida para eludir el Control de cuentas de usuario (UAC) y explotar la interfaz COM CMSTPLUA para escalar privilegios”, dijo Houspanossian. “Una vez que la escalada de privilegios tuvo \u00e9xito, el malware se a\u00f1adi\u00f3 a la lista de exclusi\u00f3n de Windows Defender para evadir la defensa”.<\/p>\n La cadena de ataque, adem\u00e1s de utilizar Vidar Stealer para desviar credenciales confidenciales de los navegadores web, aprovecha cargas \u00fatiles adicionales para implementar un minero de criptomonedas en el host comprometido.<\/p>\n La divulgaci\u00f3n sigue a un aumento en las campa\u00f1as ClearFake que atraen a los visitantes del sitio a ejecutar manualmente un script de PowerShell para abordar un supuesto problema con la visualizaci\u00f3n de p\u00e1ginas web, una t\u00e9cnica previamente revelada por ReliaQuest a fines del mes pasado.<\/p>\n El script de PowerShell sirve luego como plataforma de lanzamiento para Hijack Loader, que en \u00faltima instancia entrega el malware Lumma Stealer. El ladr\u00f3n tambi\u00e9n est\u00e1 equipado para descargar tres cargas \u00fatiles m\u00e1s, incluido Amadey Loader, un descargador que inicia el minero XMRig y un malware clipper para redirigir transacciones criptogr\u00e1ficas a billeteras controladas por el atacante.<\/p>\n “Se observ\u00f3 que Amadey descargaba otras cargas \u00fatiles, por ejemplo, un malware basado en Go que se cree que es JaskaGO”, dijeron los investigadores de Proofpoint Tommy Madjar, Dusty Miller y Selena Larson. dicho<\/a>.<\/p>\n La firma de seguridad empresarial dijo que tambi\u00e9n detect\u00f3 a mediados de abril de 2024 otro grupo de actividad denominado ClickFix que empleaba actualizaciones defectuosas del navegador para atraer a los visitantes de sitios comprometidos con el fin de propagar Vidar Stealer utilizando un mecanismo similar que implica copiar y ejecutar c\u00f3digo PowerShell.<\/p>\n Otro actor de amenazas que ha adoptado la misma t\u00e1ctica de ingenier\u00eda social en sus campa\u00f1as de malspam es TA571, al que se le ha observado enviando correos electr\u00f3nicos con archivos adjuntos HTML que, cuando se abren, muestran un mensaje de error: “La extensi\u00f3n ‘Word Online’ no est\u00e1 instalada en su navegador”. “.<\/p>\n El mensaje tambi\u00e9n presenta dos opciones: “C\u00f3mo solucionarlo” y “Reparaci\u00f3n autom\u00e1tica”. Si una v\u00edctima selecciona la primera opci\u00f3n, se copia un comando de PowerShell codificado en Base64 al portapapeles de la computadora seguido de instrucciones para iniciar una terminal de PowerShell y hacer clic con el bot\u00f3n derecho en la ventana de la consola para pegar el contenido y ejecutar el c\u00f3digo responsable de ejecutar un instalador MSI. de un script Visual Basic (VBS).<\/p>\n De manera similar, a los usuarios que terminan seleccionando “Reparaci\u00f3n autom\u00e1tica” se les muestran archivos alojados en WebDAV llamados “fix.msi” o “fix.vbs” en el Explorador de Windows aprovechando el controlador de protocolo “search-ms:”.<\/p>\n Independientemente de la opci\u00f3n elegida, la ejecuci\u00f3n del archivo MSI culmina con la instalaci\u00f3n de Matanbuchus, mientras que la ejecuci\u00f3n del archivo VBS conduce a la ejecuci\u00f3n de DarkGate.<\/p>\n Otras variantes de la campa\u00f1a tambi\u00e9n han resultado en la distribuci\u00f3n de NetSupport RAT, lo que subraya los intentos de modificar y actualizar los se\u00f1uelos y las cadenas de ataque a pesar de que requieren una interacci\u00f3n significativa por parte del usuario para tener \u00e9xito.<\/p>\n “El uso leg\u00edtimo y las muchas formas de almacenar el c\u00f3digo malicioso, y el hecho de que la v\u00edctima ejecuta manualmente el c\u00f3digo malicioso sin ninguna asociaci\u00f3n directa con un archivo, dificulta la detecci\u00f3n de este tipo de amenazas”, dijo Proofpoint.<\/p>\n “Dado que el software antivirus y los EDR tendr\u00e1n problemas para inspeccionar el contenido del portapapeles, es necesario realizar la detecci\u00f3n y el bloqueo antes de que el HTML\/sitio malicioso se presente a la v\u00edctima”.<\/p>\n El desarrollo tambi\u00e9n se produce cuando eSentire revel\u00f3 una campa\u00f1a de malware que aprovecha sitios web similares que se hacen pasar por Indeed.[.]com para eliminar el malware de robo de informaci\u00f3n SolarMarker a trav\u00e9s de un documento atractivo que pretende ofrecer ideas para la formaci\u00f3n de equipos.<\/p>\n “SolarMarker utiliza t\u00e9cnicas de envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO) para manipular los resultados de los motores de b\u00fasqueda y aumentar la visibilidad de enlaces enga\u00f1osos”, dijo la empresa canadiense de ciberseguridad. dicho<\/a>.<\/p>\n “El uso de t\u00e1cticas de SEO por parte de los atacantes para dirigir a los usuarios a sitios maliciosos subraya la importancia de tener cuidado al hacer clic en los resultados de los motores de b\u00fasqueda, incluso si parecen leg\u00edtimos”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Los-ciberdelincuentes-aprovechan-los-senuelos-del-software-libre-para-implementar.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n