{"id":1302206,"date":"2024-08-02T20:13:17","date_gmt":"2024-08-02T20:13:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/apt28-ataca-a-diplomaticos-con-malware-headlace-mediante-enganos-de-phishing-para-la-venta-de-automoviles\/"},"modified":"2024-08-02T20:13:21","modified_gmt":"2024-08-02T20:13:21","slug":"apt28-ataca-a-diplomaticos-con-malware-headlace-mediante-enganos-de-phishing-para-la-venta-de-automoviles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apt28-ataca-a-diplomaticos-con-malware-headlace-mediante-enganos-de-phishing-para-la-venta-de-automoviles\/","title":{"rendered":"APT28 ataca a diplom\u00e1ticos con malware HeadLace mediante enga\u00f1os de phishing para la venta de autom\u00f3viles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/APT28-ataca-a-diplomaticos-con-malware-HeadLace-mediante-enganos-de.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Un actor de amenazas vinculado a Rusia ha sido vinculado a una nueva campa\u00f1a que utiliz\u00f3 un autom\u00f3vil en venta como se\u00f1uelo de phishing para entregar una puerta trasera modular de Windows llamada HeadLace.<\/p>\n<p>&#8220;La campa\u00f1a probablemente estaba dirigida a diplom\u00e1ticos y comenz\u00f3 en marzo de 2024&#8221;, inform\u00f3 Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/fighting-ursa-car-for-sale-phishing-lure\/\" target=\"_blank\">dicho<\/a> en un informe publicado hoy, atribuy\u00e9ndolo con un nivel de confianza medio a alto a APT28, tambi\u00e9n conocido como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.<\/p>\n<p>Vale la pena se\u00f1alar que los temas de phishing de venta de autom\u00f3viles han sido utilizados anteriormente por un grupo de un estado nacional ruso diferente llamado APT29 desde julio de 2023, lo que indica que APT28 est\u00e1 reutilizando t\u00e1cticas exitosas para sus propias campa\u00f1as.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>A principios de mayo, el actor de amenazas estuvo implicado en una serie de campa\u00f1as dirigidas a redes de toda Europa con el malware HeadLace y p\u00e1ginas web de recolecci\u00f3n de credenciales.<\/p>\n<p>Los ataques se caracterizan por el uso de un servicio leg\u00edtimo conocido como webhook.[.]sitio, un sello distintivo de las operaciones cibern\u00e9ticas de APT28 junto con Mocky, para alojar una p\u00e1gina HTML maliciosa, que primero verifica si la m\u00e1quina de destino se ejecuta en Windows y, de ser as\u00ed, ofrece una <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/dad1a8869c950c2d1d322c8aed3757d3988ef4f06ba230b329c8d510d8d9a027\" target=\"_blank\">Archivo ZIP<\/a> para descargar (&#8220;IMG-387470302099.zip&#8221;).<\/p>\n<p>Si el sistema no est\u00e1 basado en Windows, redirecciona a una imagen se\u00f1uelo alojada en ImgBB, espec\u00edficamente un SUV Audi Q7 Quattro.<\/p>\n<p>Dentro del archivo hay tres archivos: el ejecutable leg\u00edtimo de la calculadora de Windows que se hace pasar por un archivo de imagen (&#8220;IMG-387470302099.jpg.exe&#8221;), una DLL (&#8220;WindowsCodecs.dll&#8221;) y un script por lotes (&#8220;zqtxmo.bat&#8221;).<\/p>\n<p>El binario de la calculadora se utiliza para cargar lateralmente la DLL maliciosa, un componente de la puerta trasera HeadLace que est\u00e1 dise\u00f1ado para ejecutar el script por lotes, que, a su vez, ejecuta un comando codificado en Base64 para recuperar un archivo de otro webhook.[.]Sitio URL. <\/p>\n<p>Luego, este archivo se guarda como &#8220;IMG387470302099.jpg&#8221; en la carpeta de descargas de los usuarios y se renombra a &#8220;IMG387470302099.cmd&#8221; antes de su ejecuci\u00f3n, despu\u00e9s de lo cual se elimina para borrar rastros de cualquier actividad maliciosa.<\/p>\n<p>&#8220;Si bien la infraestructura utilizada por Fighting Ursa var\u00eda seg\u00fan las diferentes campa\u00f1as de ataque, el grupo recurre con frecuencia a estos servicios de libre acceso&#8221;, afirm\u00f3 Unit 42. &#8220;Adem\u00e1s, las t\u00e1cticas de esta campa\u00f1a encajan con las campa\u00f1as de Fighting Ursa documentadas anteriormente, y la puerta trasera HeadLace es exclusiva de este actor de amenazas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/apt28-targets-diplomats-with-headlace.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de agosto de 2024\ue804Ravie LakshmananEspionaje cibern\u00e9tico \/ Malware Un actor de amenazas vinculado a Rusia ha sido<\/p>\n","protected":false},"author":1,"featured_media":1302207,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,160020,4397,4661,13823,4664,99,6866,56876,4662,245868,4668,4667,4669,239182,11078,4654,239508,4658,4659,4653,18,8178,4666,4665,7201,239484],"class_list":["post-1302206","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apt28","tag-ataca","tag-ataques-ciberneticos","tag-automoviles","tag-como-hackear","tag-con","tag-diplomaticos","tag-enganos","tag-filtracion-de-datos","tag-headlace","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-malware-ransomware","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-phishing","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-venta","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302206","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1302206"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1302206\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1302207"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1302206"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1302206"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1302206"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}