Un actor de amenazas previamente indocumentado apodado boolka<\/b> Se ha observado que compromete sitios web con scripts maliciosos para entregar un troyano modular con nombre en c\u00f3digo. BMGERENTE<\/b>.<\/p>\n
“El actor de amenazas detr\u00e1s de esta campa\u00f1a ha estado llevando a cabo ataques oportunistas de inyecci\u00f3n SQL contra sitios web en varios pa\u00edses desde al menos 2022”, afirman los investigadores del Grupo IB Rustam Mirkasymov y Martijn van den Berk. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Durante los \u00faltimos tres a\u00f1os, los actores de amenazas han estado infectando sitios web vulnerables con scripts JavaScript maliciosos capaces de interceptar cualquier dato ingresado en un sitio web infectado”.<\/p>\n Boolka recibe su nombre del c\u00f3digo JavaScript insertado en el sitio web que dirige a un servidor de comando y control llamado “boolka[.]tk” cada vez que un visitante desprevenido llega al sitio infectado.<\/p>\n JavaScript tambi\u00e9n est\u00e1 dise\u00f1ado para recopilar y filtrar entradas e interacciones de los usuarios en un formato codificado en Base64, lo que indica el uso del malware para capturar detalles confidenciales como credenciales y otra informaci\u00f3n personal.<\/p>\n Adem\u00e1s, redirige a los usuarios a una p\u00e1gina de carga falsa que solicita a las v\u00edctimas que descarguen e instalen una extensi\u00f3n del navegador cuando, en realidad, descarga un descargador para el troyano BMANAGER, que, a su vez, intenta recuperar el malware desde una URL codificada. . El marco de distribuci\u00f3n de malware se basa en la Marco BeEF<\/a>.<\/p>\n El troyano, por su parte, sirve como conducto para implementar cuatro m\u00f3dulos adicionales, incluido BMBACKUP (recopila archivos de rutas particulares), BMHOOK (registra qu\u00e9 aplicaciones se est\u00e1n ejecutando y tienen foco en el teclado), BMLOG (registra las pulsaciones de teclas) y BMREADER (exporta datos robados). Tambi\u00e9n configura la persistencia en el host mediante tareas programadas.<\/p>\n “La mayor\u00eda de las muestras utilizan una base de datos SQL local”, se\u00f1alaron los investigadores. “La ruta y el nombre de esta base de datos est\u00e1n codificados en los ejemplos que se ubicar\u00e1n en: C:Users{user}AppDataLocalTempcoollog.db, siendo usuario el nombre de usuario del usuario que inici\u00f3 sesi\u00f3n. “<\/p>\n Boolka es el tercer actor despu\u00e9s de GambleForce y ResumeLooters que aprovecha los ataques de inyecci\u00f3n SQL para robar datos confidenciales en los \u00faltimos meses.<\/p>\n “Desde los ataques oportunistas de inyecci\u00f3n SQL en 2022 hasta el desarrollo de su propia plataforma de entrega de malware y troyanos como BMANAGER, las operaciones de Boolka demuestran que las t\u00e1cticas del grupo se han vuelto m\u00e1s sofisticadas con el tiempo”, concluyeron los investigadores.<\/p>\n “La inyecci\u00f3n de fragmentos de JavaScript maliciosos en sitios web vulnerables para la filtraci\u00f3n de datos, y luego el uso del marco BeEF para la entrega de malware, refleja el desarrollo paso a paso de las competencias del atacante”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/La-nueva-ciberamenaza-Boolka-implementa-el-troyano-BMANAGER-mediante-ataques.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n