{"id":1286889,"date":"2024-07-22T13:57:41","date_gmt":"2024-07-22T13:57:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-grupos-de-hackers-pineapple-y-fluxroot-abusan-de-google-cloud-para-suplantar-credenciales\/"},"modified":"2024-07-22T13:57:45","modified_gmt":"2024-07-22T13:57:45","slug":"los-grupos-de-hackers-pineapple-y-fluxroot-abusan-de-google-cloud-para-suplantar-credenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-grupos-de-hackers-pineapple-y-fluxroot-abusan-de-google-cloud-para-suplantar-credenciales\/","title":{"rendered":"Los grupos de hackers PINEAPPLE y FLUXROOT abusan de Google Cloud para suplantar credenciales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de julio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de prensa<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Ataque de phishing<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Los-grupos-de-hackers-PINEAPPLE-y-FLUXROOT-abusan-de-Google.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un actor con motivaciones financieras y con sede en Am\u00e9rica Latina (LATAM) cuyo nombre en c\u00f3digo es <strong>RAIZ DE FLUJO<\/strong> Se ha observado que se aprovechan los proyectos sin servidor de Google Cloud para orquestar actividades de phishing de credenciales, lo que resalta el abuso del modelo de computaci\u00f3n en la nube con fines maliciosos.<\/p>\n<p>&#8220;Las arquitecturas sin servidor son atractivas para los desarrolladores y las empresas por su flexibilidad, rentabilidad y facilidad de uso&#8221;, afirm\u00f3 Google en su informe bianual. <a rel=\"nofollow noopener\" href=\"https:\/\/services.google.com\/fh\/files\/misc\/threat_horizons_report_h2_2024.pdf\" target=\"_blank\">Informe sobre los horizontes de amenazas<\/a> [PDF]  compartido con The Hacker News.<\/p>\n<p>&#8220;Estas mismas caracter\u00edsticas hacen que los servicios inform\u00e1ticos sin servidor para todos los proveedores de la nube sean atractivos para los actores de amenazas, que los utilizan para distribuir y comunicarse con su malware, alojar y dirigir a los usuarios a p\u00e1ginas de phishing y ejecutar malware y ejecutar scripts maliciosos dise\u00f1ados espec\u00edficamente para ejecutarse en un entorno sin servidor&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La campa\u00f1a implic\u00f3 el uso de URL de contenedores de Google Cloud para alojar p\u00e1ginas de phishing de credenciales con el objetivo de recopilar informaci\u00f3n de inicio de sesi\u00f3n asociada con Mercado Pago, una plataforma de pagos en l\u00ednea popular en la regi\u00f3n de LATAM.<\/p>\n<p>FLUXROOT, seg\u00fan Google, es el actor de amenazas conocido por distribuir el troyano bancario Grandoreiro, y sus campa\u00f1as recientes tambi\u00e9n aprovechan servicios de nube leg\u00edtimos como Microsoft Azure y Dropbox para distribuir el malware.<\/p>\n<p>Por otra parte, la infraestructura en la nube de Google tambi\u00e9n ha sido utilizada como arma por otro adversario llamado PINEAPPLE para propagar otro malware ladr\u00f3n conocido como Astaroth (tambi\u00e9n conocido como Guildma) como parte de ataques dirigidos a usuarios brasile\u00f1os.<\/p>\n<p>&#8220;PINEAPPLE utiliz\u00f3 instancias de Google Cloud comprometidas y proyectos de Google Cloud que ellos mismos crearon para crear URL de contenedores en dominios leg\u00edtimos sin servidor de Google Cloud, como CloudFunctions.[.]&#8221;net y run.app&#8221;, se\u00f1al\u00f3 Google. &#8220;Las URL alojaban p\u00e1ginas de destino que redirig\u00edan a los objetivos a una infraestructura maliciosa que instalaba Astaroth&#8221;.<\/p>\n<p>Adem\u00e1s, se dice que el actor de amenazas intent\u00f3 eludir las protecciones de la puerta de enlace de correo electr\u00f3nico mediante el uso de servicios de reenv\u00edo de correo que no eliminan los mensajes con un marco de pol\u00edticas de remitente fallido (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Sender_Policy_Framework\" target=\"_blank\">FPS<\/a>) registros, o incorporar datos inesperados en el <a rel=\"nofollow noopener\" href=\"https:\/\/mxtoolbox.com\/dmarc\/spf\/setup\/spf-return-path\" target=\"_blank\">Campo de ruta de retorno SMTP<\/a> para provocar un tiempo de espera de solicitud de DNS y provocar que fallen las comprobaciones de autenticaci\u00f3n de correo electr\u00f3nico.<\/p>\n<p>El gigante de las b\u00fasquedas dijo que tom\u00f3 medidas para mitigar las actividades eliminando los proyectos maliciosos de Google Cloud y actualizando su <a rel=\"nofollow noopener\" href=\"https:\/\/developers.google.com\/safe-browsing\/v4\/lists\" target=\"_blank\">Listas de Navegaci\u00f3n Segura<\/a>.<\/p>\n<p>La utilizaci\u00f3n de los servicios y la infraestructura en la nube como arma por parte de actores amenazantes, que van desde la miner\u00eda il\u00edcita de criptomonedas como <a rel=\"nofollow noopener\" href=\"https:\/\/www.aquasec.com\/blog\/kubernetes-exposed-exploiting-the-kubelet-api\/\" target=\"_blank\">consecuencia<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/news-and-events\/warpscan-cloudflare-warp-abused-to-hijack-cloud-services\" target=\"_blank\">configuraciones d\u00e9biles<\/a> al ransomware \u2013 ha sido <a rel=\"nofollow noopener\" href=\"https:\/\/services.google.com\/fh\/files\/misc\/threat_horizons_report_h12024.pdf\" target=\"_blank\">alimentado<\/a> por la mayor adopci\u00f3n de la nube en todas las industrias.<\/p>\n<p>Adem\u00e1s, este enfoque tiene el beneficio adicional de permitir que los adversarios se integren a las actividades normales de la red, lo que hace que la detecci\u00f3n sea mucho m\u00e1s dif\u00edcil.<\/p>\n<p>&#8220;Los actores de amenazas aprovechan la flexibilidad y la facilidad de implementaci\u00f3n de las plataformas sin servidor para distribuir malware y alojar p\u00e1ginas de phishing&#8221;, afirm\u00f3 la empresa. &#8220;Los actores de amenazas que abusan de los servicios en la nube cambian sus t\u00e1cticas en respuesta a las medidas de detecci\u00f3n y mitigaci\u00f3n de los defensores&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/pineapple-and-fluxroot-hacker-groups.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de julio de 2024\ue804Sala de prensaSeguridad en la nube \/ Ataque de phishing Un actor con motivaciones<\/p>\n","protected":false},"author":1,"featured_media":1286890,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[22345,4657,4656,4661,33285,4664,42020,4662,243729,8666,8177,6369,4668,4667,36,239182,4654,239508,4658,4659,4653,18,143872,4666,4665,151810,239484],"class_list":["post-1286889","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusan","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cloud","tag-como-hackear","tag-credenciales","tag-filtracion-de-datos","tag-fluxroot","tag-google","tag-grupos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-pineapple","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-suplantar","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1286889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1286889"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1286889\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1286890"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1286889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1286889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1286889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}