{"id":1280636,"date":"2024-07-17T16:52:09","date_gmt":"2024-07-17T16:52:09","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-actualizan-el-malware-beavertail-para-atacar-a-los-usuarios-de-macos\/"},"modified":"2024-07-17T16:52:14","modified_gmt":"2024-07-17T16:52:14","slug":"hackers-norcoreanos-actualizan-el-malware-beavertail-para-atacar-a-los-usuarios-de-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-actualizan-el-malware-beavertail-para-atacar-a-los-usuarios-de-macos\/","title":{"rendered":"Hackers norcoreanos actualizan el malware BeaverTail para atacar a los usuarios de MacOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Ciberespionaje \/ Criptomonedas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Hackers-norcoreanos-actualizan-el-malware-BeaverTail-para-atacar-a-los.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores en ciberseguridad han <a rel=\"nofollow noopener\" href=\"https:\/\/x.com\/malwrhunterteam\/status\/1812792291876119034\" target=\"_blank\">descubierto<\/a> una variante actualizada de un conocido malware ladr\u00f3n que los atacantes afiliados a la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) han distribuido como parte de campa\u00f1as anteriores de espionaje cibern\u00e9tico dirigidas a solicitantes de empleo.<\/p>\n<p>El artefacto en cuesti\u00f3n es un archivo de imagen de disco (DMG) de Apple macOS llamado &#8220;MiroTalk.dmg&#8221; que imita el <a rel=\"nofollow noopener\" href=\"https:\/\/p2p.mirotalk.com\" target=\"_blank\">servicio de videollamada leg\u00edtimo<\/a> del mismo nombre, pero, en realidad, sirve como conducto para entregar una versi\u00f3n nativa de BeaverTail, dijo el investigador de seguridad Patrick Wardle. <a rel=\"nofollow noopener\" href=\"https:\/\/objective-see.org\/blog\/blog_0x7A.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>BeaverTail hace referencia a un malware ladr\u00f3n de JavaScript que fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en noviembre de 2023 como parte de una campa\u00f1a denominada Contagious Interview que tiene como objetivo infectar a los desarrolladores de software con malware a trav\u00e9s de un supuesto proceso de entrevistas de trabajo. Securonix est\u00e1 rastreando la misma actividad bajo el nombre de DEV#POPPER.<\/p>\n<p>Adem\u00e1s de extraer informaci\u00f3n confidencial de navegadores web y billeteras de criptomonedas, el malware es capaz de entregar cargas \u00fatiles adicionales como InvisibleFerret, una puerta trasera de Python responsable de descargar AnyDesk para acceso remoto persistente.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Apple-elimina-aplicaciones-VPN-de-la-App-Store-rusa-ante.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Si bien BeaverTail se ha distribuido a trav\u00e9s de paquetes npm falsos alojados en GitHub y el registro de paquetes npm, los \u00faltimos hallazgos marcan un cambio en el vector de distribuci\u00f3n.<\/p>\n<p>&#8220;Si tuviera que adivinar, los piratas inform\u00e1ticos de la RPDC probablemente se acercaron a sus v\u00edctimas potenciales, solicit\u00e1ndoles que se unieran a una reuni\u00f3n de contrataci\u00f3n, descargando y ejecutando la (versi\u00f3n infectada de) MiroTalk alojada en mirotalk[.]&#8221;net&#8221;, dijo Wardle.<\/p>\n<p>Un an\u00e1lisis del archivo DMG sin firmar revela que facilita el robo de datos de navegadores web como Google Chrome, Brave y Opera, billeteras de criptomonedas y iCloud Keychain. Adem\u00e1s, est\u00e1 dise\u00f1ado para descargar y ejecutar scripts de Python adicionales desde un servidor remoto (es decir, InvisibleFerret).<\/p>\n<p>&#8220;Los hackers norcoreanos son astutos y muy h\u00e1biles para hackear objetivos macOS, aunque su t\u00e9cnica a menudo se basa en ingenier\u00eda social (y por lo tanto, desde un punto de vista t\u00e9cnico, son bastante poco impresionantes)&#8221;, dijo Wardle.<\/p>\n<p>La revelaci\u00f3n llega en el momento en que Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/new-tactics-from-a-familiar-threat\/\" target=\"_blank\">descubierto<\/a> un nuevo paquete npm malicioso llamado call-blockflow que es virtualmente id\u00e9ntico al leg\u00edtimo call-bind pero que incorpora una funcionalidad compleja para descargar un archivo binario remoto mientras realiza esfuerzos minuciosos para pasar desapercibido.<\/p>\n<p>&#8220;En este ataque, si bien el paquete call-bind no se ha visto comprometido, el paquete call-blockflow convertido en arma copia toda la confianza y legitimidad del original para reforzar el \u00e9xito del ataque&#8221;, dijo en una declaraci\u00f3n compartida con The Hacker News.<\/p>\n<p>El paquete, que se sospecha es obra del Grupo Lazarus, vinculado a Corea del Norte, y que se public\u00f3 aproximadamente una hora y media despu\u00e9s de haber sido subido a npm, atrajo un total de <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=call-blockflow\" target=\"_blank\">18 descargas<\/a>La evidencia sugiere que la actividad, que comprende m\u00e1s de tres docenas de paquetes maliciosos, se ha estado desarrollando en oleadas desde septiembre de 2023.<\/p>\n<p>&#8220;Estos paquetes, una vez instalados, descargaban un archivo remoto, lo descifraban, ejecutaban una funci\u00f3n exportada desde \u00e9l y luego cubr\u00edan meticulosamente sus huellas eliminando y renombrando los archivos&#8221;, dijo la empresa de seguridad de la cadena de suministro de software. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/update-to-novembers-crypto-themed-npm-attack\/\" target=\"_blank\">dicho<\/a>&#8220;Esto dej\u00f3 el directorio del paquete en un estado aparentemente benigno despu\u00e9s de la instalaci\u00f3n&#8221;.<\/p>\n<p>Tambi\u00e9n sigue un aviso de JPCERT\/CC, advirtiendo sobre ataques cibern\u00e9ticos orquestados por el actor norcoreano Kimsuky dirigidos a organizaciones japonesas.<\/p>\n<p>El proceso de infecci\u00f3n comienza con mensajes de phishing que se hacen pasar por organizaciones diplom\u00e1ticas y de seguridad y contienen un ejecutable malicioso que, al abrirse, conduce a la descarga de un script de Visual Basic (VBS), que, a su vez, recupera un script de PowerShell para recopilar informaci\u00f3n de cuentas de usuario, sistema y red, as\u00ed como enumerar archivos y procesos.<\/p>\n<p>Luego, la informaci\u00f3n recopilada se filtra a un servidor de comando y control (C2), que responde con un segundo archivo VBS que luego se ejecuta para buscar y ejecutar un keylogger basado en PowerShell llamado InfoKey.<\/p>\n<p>&#8220;Aunque ha habido pocos informes de actividades de ataque por parte de Kimsuky contra organizaciones en Jap\u00f3n, existe la posibilidad de que Jap\u00f3n tambi\u00e9n est\u00e9 siendo atacado activamente&#8221;, JPCERT\/CC <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2024\/07\/attack-activities-by-kimsuky-targeting-japanese-organizations.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/north-korean-hackers-update-beavertail.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 de julio de 2024\ue804Sala de prensaCiberespionaje \/ Criptomonedas Los investigadores en ciberseguridad han descubierto una variante actualizada<\/p>\n","protected":false},"author":1,"featured_media":1280637,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,63719,4586,4661,242985,4664,4662,6369,4668,4667,36,34079,4669,239182,35239,4654,239508,4658,4659,4653,18,4666,4665,7528,239484],"class_list":["post-1280636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-actualizan","tag-atacar","tag-ataques-ciberneticos","tag-beavertail","tag-como-hackear","tag-filtracion-de-datos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-macos","tag-malware","tag-malware-ransomware","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-usuarios","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1280636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1280636"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1280636\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1280637"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1280636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1280636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1280636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}