Los usuarios de habla china son el objetivo de un grupo de actividades de amenazas nunca antes visto con nombre en c\u00f3digo Aracne vac\u00eda<\/strong> que emplea archivos maliciosos de Windows Installer (MSI) para redes privadas virtuales (VPN) para ofrecer un marco de comando y control (C&C) llamado Winos 4.0.<\/p>\n “La campa\u00f1a tambi\u00e9n promueve archivos MSI comprometidos incrustados con nudificadores y software generador de pornograf\u00eda deepfake, as\u00ed como tecnolog\u00edas faciales y de voz con inteligencia artificial”, afirman los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Ahmed Mohamed Ibrahim. dicho<\/a> en un informe t\u00e9cnico publicado hoy.<\/p>\n “La campa\u00f1a utiliza [Search Engine Optimization] t\u00e1cticas de envenenamiento y redes sociales y plataformas de mensajer\u00eda para distribuir malware”.<\/p>\n La firma de ciberseguridad, que descubri\u00f3 el nuevo grupo de actores de amenazas a principios de abril de 2024, dijo que los ataques implican publicidad de software popular como Google Chrome, LetsVPN, QuickVPN y un paquete de idioma de Telegram para el idioma chino simplificado para distribuir Winos. Las cadenas de ataques alternativas aprovechan los instaladores de puerta trasera propagados en canales de Telegram con tem\u00e1tica china. <\/p>\n Los enlaces surgidos a trav\u00e9s de t\u00e1cticas de SEO de sombrero negro apuntan a una infraestructura dedicada configurada por el adversario para organizar los instaladores en forma de archivos ZIP. Para los ataques dirigidos a canales de Telegram, los instaladores MSI y los archivos ZIP se alojan directamente en la plataforma de mensajer\u00eda.<\/p>\n El uso de un paquete malicioso en idioma chino es interesante, entre otras cosas porque plantea una enorme superficie de ataque. Otros tipos de software pretenden ofrecer capacidades para generar videos pornogr\u00e1ficos deepfake no consensuales para su uso en estafas de sextorsi\u00f3n<\/a>tecnolog\u00edas de inteligencia artificial que podr\u00edan usarse para secuestro virtual<\/a>y herramientas para alterar la voz y cambiar la cara.<\/p>\n Los instaladores est\u00e1n dise\u00f1ados para modificar las reglas del firewall para incluir en la lista permitida el tr\u00e1fico entrante y saliente asociado con el malware cuando se conecta a redes p\u00fablicas.<\/p>\n Tambi\u00e9n coloca un cargador que descifra y ejecuta una carga \u00fatil de segunda etapa en la memoria, que posteriormente lanza un script de Visual Basic (VBS) para configurar la persistencia en el host y desencadenar la ejecuci\u00f3n de un script por lotes desconocido y entregar el marco de C&C de Winos 4.0. mediante un stager que establece comunicaciones C&C con un servidor remoto.<\/p>\n Un implante escrito en C++, Winos 4.0 est\u00e1 equipado para llevar a cabo gesti\u00f3n de archivos, denegaci\u00f3n de servicio distribuido (DDoS) usando TCP\/UDP\/ICMP\/HTTP, b\u00fasqueda de disco, control de c\u00e1mara web, captura de pantalla, grabaci\u00f3n de micr\u00f3fono, registro de teclas y acceso remoto al shell. .<\/p>\n Para subrayar la complejidad de la puerta trasera hay un sistema basado en complementos que implementa las caracter\u00edsticas antes mencionadas a trav\u00e9s de un conjunto de 23 componentes dedicados compilados para variantes de 32 y 64 bits. Se puede ampliar a\u00fan m\u00e1s mediante complementos externos integrados por los propios actores de la amenaza, seg\u00fan sus necesidades.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/El-nuevo-actor-de-amenazas-Void-Arachne-apunta-a-usuarios.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n