{"id":1246709,"date":"2024-06-21T12:12:55","date_gmt":"2024-06-21T12:12:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-puerta-trasera-de-oyster-se-propaga-a-traves-de-descargas-de-software-populares-troyanizadas\/"},"modified":"2024-06-21T12:12:59","modified_gmt":"2024-06-21T12:12:59","slug":"la-puerta-trasera-de-oyster-se-propaga-a-traves-de-descargas-de-software-populares-troyanizadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-puerta-trasera-de-oyster-se-propaga-a-traves-de-descargas-de-software-populares-troyanizadas\/","title":{"rendered":"La puerta trasera de Oyster se propaga a trav\u00e9s de descargas de software populares troyanizadas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de junio de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/publicidad maliciosa<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una campa\u00f1a de publicidad maliciosa est\u00e1 aprovechando instaladores troyanizados de software popular como Google Chrome y Microsoft Teams para colocar una puerta trasera llamada Oyster (tambi\u00e9n conocida como Broomstick y CleanUpLoader).<\/p>\n

Eso es seg\u00fan recomendaciones<\/a> de Rapid7, que identific\u00f3 sitios web similares que albergan cargas \u00fatiles maliciosas a las que se redirige a los usuarios despu\u00e9s de buscarlas en motores de b\u00fasqueda como Google y Bing.<\/p>\n

Los actores de amenazas est\u00e1n atrayendo a usuarios desprevenidos a sitios web falsos que pretenden contener software leg\u00edtimo. Pero al intentar descargar el binario de instalaci\u00f3n se inicia una cadena de infecci\u00f3n de malware.<\/p>\n

Espec\u00edficamente, el ejecutable sirve como v\u00eda para una puerta trasera llamada Oyster, que es capaz de recopilar informaci\u00f3n sobre el host comprometido, comunicarse con una direcci\u00f3n de comando y control (C2) codificada y admitir la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Si bien se ha observado en el pasado que Oyster se entrega mediante un componente de carga dedicado conocido como Broomstick Loader (tambi\u00e9n conocido como Oyster Installer), las \u00faltimas cadenas de ataques implican el despliegue directo de la puerta trasera. Se dice que el malware est\u00e1 asociado con ITG23<\/a>un grupo vinculado a Rusia detr\u00e1s del malware TrickBot.<\/p>\n

A la ejecuci\u00f3n del malware le sigue la instalaci\u00f3n del software leg\u00edtimo Microsoft Teams en un intento de mantener la artima\u00f1a y evitar generar se\u00f1ales de alerta. Rapid7 dijo que tambi\u00e9n observ\u00f3 que el malware se utilizaba para generar un script de PowerShell responsable de configurar la persistencia en el sistema.<\/p>\n

La divulgaci\u00f3n se produce cuando se ha atribuido a un grupo de delitos cibern\u00e9ticos conocido como Rogue Raticate (tambi\u00e9n conocido como RATicate) estar detr\u00e1s de una campa\u00f1a de phishing por correo electr\u00f3nico que emplea se\u00f1uelos PDF para atraer a los usuarios a hacer clic en una URL maliciosa y entregar NetSupport RAT.<\/p>\n

\"Software<\/a><\/div>\n

“Si se logra enga\u00f1ar a un usuario para que haga clic en la URL, ser\u00e1 conducido a trav\u00e9s de un sistema de distribuci\u00f3n de tr\u00e1fico (TDS) al resto de la cadena y, al final, tendr\u00e1 implementada la herramienta de acceso remoto de NetSupport en su m\u00e1quina”, Symantec dicho<\/a>.<\/p>\n

Tambi\u00e9n coincide con el surgimiento de una nueva plataforma de phishing como servicio (PhaaS) llamada ONNX Store que permite a los clientes organizar campa\u00f1as de phishing utilizando c\u00f3digos QR integrados en archivos PDF adjuntos que llevan a las v\u00edctimas a p\u00e1ginas de recolecci\u00f3n de credenciales.<\/p>\n

Se cree que ONNX Store, que tambi\u00e9n ofrece alojamiento Bulletproof y servicios RDP a trav\u00e9s de un bot de Telegram, es una versi\u00f3n renombrada del kit de phishing Caffeine, que fue documentado por primera vez por Mandiant, propiedad de Google, en octubre de 2022, con el servicio mantenido por un \u00e1rabe. actor de amenazas parlante llamado MRxC0DER.<\/p>\n

\"La<\/a><\/center><\/div>\n

Adem\u00e1s de utilizar los mecanismos anti-bot de Cloudflare para evadir la detecci\u00f3n por parte de los esc\u00e1neres de sitios web de phishing, las URL distribuidas a trav\u00e9s de campa\u00f1as de quishing<\/a> vienen integrados con JavaScript cifrado que se decodifica durante la carga de la p\u00e1gina para recopilar metadatos de red de las v\u00edctimas y transmitir tokens 2FA.<\/p>\n

“ONNX Store tiene un mecanismo de derivaci\u00f3n de autenticaci\u00f3n de dos factores (2FA) que intercepta [two-factor authentication] peticiones de las v\u00edctimas”, afirma Arda B\u00fcy\u00fckkaya, investigadora de EclecticIQ dicho<\/a>. “Las p\u00e1ginas de phishing parecen interfaces de inicio de sesi\u00f3n reales de Microsoft 365, enga\u00f1ando a los objetivos para que ingresen sus detalles de autenticaci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n