{"id":1261694,"date":"2024-07-03T08:10:16","date_gmt":"2024-07-03T08:10:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-fakebat-loader-se-propaga-ampliamente-mediante-ataques-de-descargas-automaticas\/"},"modified":"2024-07-03T08:10:20","modified_gmt":"2024-07-03T08:10:20","slug":"el-malware-fakebat-loader-se-propaga-ampliamente-mediante-ataques-de-descargas-automaticas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-fakebat-loader-se-propaga-ampliamente-mediante-ataques-de-descargas-automaticas\/","title":{"rendered":"El malware FakeBat Loader se propaga ampliamente mediante ataques de descargas autom\u00e1ticas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">3 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Malware \/ Envenenamiento SEO<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/El-malware-FakeBat-Loader-se-propaga-ampliamente-mediante-ataques-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El cargador como servicio (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware de carga m\u00e1s extendidas distribuidas mediante la t\u00e9cnica de descarga autom\u00e1tica este a\u00f1o, seg\u00fan revelan los hallazgos de Sekoia.<\/p>\n<p>&#8220;FakeBat tiene como objetivo principal descargar y ejecutar la carga \u00fatil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif&#8221;, dijo la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/exposing-fakebat-loader-distribution-methods-and-adversary-infrastructure\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n<p>Los ataques drive-by implican el uso de m\u00e9todos como envenenamiento de optimizaci\u00f3n de motores de b\u00fasqueda (SEO), publicidad maliciosa e inyecciones de c\u00f3digo nefasto en sitios comprometidos para incitar a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador.<\/p>\n<p>El uso de cargadores de malware en los \u00faltimos a\u00f1os coincide con el uso creciente de p\u00e1ginas de destino que se hacen pasar por sitios web de software leg\u00edtimos y las hacen pasar por instaladores leg\u00edtimos. Esto se relaciona con el aspecto m\u00e1s amplio de que el phishing y la ingenier\u00eda social siguen siendo una de las principales formas que tienen los actores de amenazas para obtener acceso inicial.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718513814_760_Hacker-britanico-vinculado-al-notorio-grupo-de-aranas-dispersas-arrestado.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>FakeBat, tambi\u00e9n conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripci\u00f3n LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (tambi\u00e9n conocido como Payk_34) desde al menos diciembre de 2022.<\/p>\n<p>El cargador est\u00e1 dise\u00f1ado para eludir los mecanismos de seguridad y ofrece a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software leg\u00edtimo, as\u00ed como monitorear las instalaciones a lo largo del tiempo a trav\u00e9s de un panel de administraci\u00f3n.<\/p>\n<p>Si bien las versiones anteriores utilizaban un formato MSI para las compilaciones de malware, las iteraciones recientes observadas desde septiembre de 2023 cambiaron a un formato MSIX y agregaron una firma digital al instalador con un certificado v\u00e1lido para eludir las protecciones SmartScreen de Microsoft.<\/p>\n<p>El malware est\u00e1 disponible por $1,000 por semana y $2,500 por mes para el formato MSI, $1,500 por semana y $4,000 por mes para el formato MSIX, y $1,800 por semana y $5,000 por mes para el paquete combinado MSI y firma.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1719994215_84_El-malware-FakeBat-Loader-se-propaga-ampliamente-mediante-ataques-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1719994215_84_El-malware-FakeBat-Loader-se-propaga-ampliamente-mediante-ataques-de.png\" alt=\"\" border=\"0\" data-original-height=\"445\" data-original-width=\"1246\"\/><\/a><\/div>\n<p>Sekoia afirm\u00f3 que detect\u00f3 diferentes grupos de actividades que difund\u00edan FakeBat mediante tres m\u00e9todos principales: suplantaci\u00f3n de software popular a trav\u00e9s de anuncios maliciosos de Google, actualizaciones falsas de navegadores web a trav\u00e9s de sitios comprometidos y esquemas de ingenier\u00eda social en redes sociales. Esto incluye campa\u00f1as probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER.<\/p>\n<p>&#8220;Adem\u00e1s de alojar cargas \u00fatiles, FakeBat [command-and-control] &#8220;Es muy probable que los servidores filtren el tr\u00e1fico en funci\u00f3n de caracter\u00edsticas como el valor del agente de usuario, la direcci\u00f3n IP y la ubicaci\u00f3n&#8221;, dijo Sekoia. &#8220;Esto permite la distribuci\u00f3n del malware a objetivos espec\u00edficos&#8221;.<\/p>\n<p>La revelaci\u00f3n se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detall\u00f3 una campa\u00f1a de malware que distribu\u00eda otro cargador llamado DBatLoader (tambi\u00e9n conocido como ModiLoader y NatsoLoader) a trav\u00e9s de correos electr\u00f3nicos de phishing con temas de facturas.<\/p>\n<p>Tambi\u00e9n sigue el descubrimiento de cadenas de infecci\u00f3n que propagan Hijack Loader (tambi\u00e9n conocido como DOILoader e IDAT Loader) a trav\u00e9s de sitios de descarga de pel\u00edculas pirateadas para finalmente entregar el ladr\u00f3n de informaci\u00f3n Lumma.<\/p>\n<p>&#8220;Esta campa\u00f1a IDATLOADER utiliza una cadena de infecci\u00f3n compleja que contiene m\u00faltiples capas de ofuscaci\u00f3n directa basada en c\u00f3digo junto con trucos innovadores para ocultar a\u00fan m\u00e1s la malicia del c\u00f3digo&#8221;, dijo el investigador de Kroll, Dave Truman.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;La infecci\u00f3n se bas\u00f3 en el uso del programa mshta.exe de Microsoft para ejecutar un c\u00f3digo oculto en un archivo especialmente dise\u00f1ado que se hac\u00eda pasar por una clave secreta PGP. La campa\u00f1a utiliz\u00f3 adaptaciones novedosas de t\u00e9cnicas comunes y una ofuscaci\u00f3n intensa para ocultar el c\u00f3digo malicioso y evitar su detecci\u00f3n&#8221;.<\/p>\n<p>Tambi\u00e9n se han observado campa\u00f1as de phishing que distribuyen Remcos RAT, con un nuevo actor de amenazas de Europa del Este denominado Unfurling Hemlock que aprovecha cargadores y correos electr\u00f3nicos para colocar archivos binarios que act\u00faan como una &#8220;bomba de racimo&#8221; para propagar diferentes cepas de malware a la vez.<\/p>\n<p>&#8220;El malware que se distribuye utilizando esta t\u00e9cnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/brief-history-smokeloader-part-1\" target=\"_blank\">Cargador de humo<\/a>&#8220;, dijo el investigador de Outpost24, H\u00e9ctor Garc\u00eda.<\/p>\n<p>&#8220;La mayor\u00eda de las primeras etapas fueron detectadas siendo enviadas por correo electr\u00f3nico a diferentes empresas o siendo descargadas desde sitios externos que fueron contactados por cargadores externos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/fakebat-loader-malware-spreads-widely.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue8023 de julio de 2024\ue804Sala de prensaMalware \/ Envenenamiento SEO El cargador como servicio (LaaS) conocido como FakeBat<\/p>\n","protected":false},"author":1,"featured_media":1261695,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20698,2346,4661,69918,4664,54386,240501,4662,4668,4667,38610,4669,239182,11078,4654,239508,4658,4659,4653,8342,4666,4665,239484],"class_list":["post-1261694","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ampliamente","tag-ataques","tag-ataques-ciberneticos","tag-automaticas","tag-como-hackear","tag-descargas","tag-fakebat","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-loader","tag-malware","tag-malware-ransomware","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-propaga","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1261694","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1261694"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1261694\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1261695"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1261694"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1261694"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1261694"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}