Una campa\u00f1a de ingenier\u00eda social en curso con presuntos v\u00ednculos con el grupo de ransomware Black Basta se ha vinculado a “m\u00faltiples intentos de intrusi\u00f3n” con el objetivo de llevar a cabo el robo de credenciales e implementar un cuentagotas de malware llamado SystemBC.<\/p>\n
“El se\u00f1uelo inicial que utilizan los actores de amenazas sigue siendo el mismo: una bomba de correo electr\u00f3nico seguida de un intento de llamar a los usuarios afectados y ofrecer una soluci\u00f3n falsa”, Rapid7 dicho<\/a>y agreg\u00f3 que “las llamadas externas generalmente se realizaban a los usuarios afectados a trav\u00e9s de Microsoft Teams”.<\/p>\n Luego, la cadena de ataque convence al usuario de descargar e instalar un software de acceso remoto leg\u00edtimo llamado AnyDesk, que act\u00faa como canal para implementar cargas \u00fatiles posteriores y exfiltrar datos confidenciales.<\/p>\n Esto incluye el uso de un ejecutable llamado “AntiSpam.exe” que pretende descargar filtros de spam de correo electr\u00f3nico e insta a los usuarios a ingresar sus credenciales de Windows para completar la actualizaci\u00f3n.<\/p>\n El paso es seguido por la ejecuci\u00f3n de varios binarios, archivos DLL y scripts de PowerShell, que incluyen una baliza HTTP basada en Golang que establece contacto con un servidor remoto, un proxy SOCKS y SystemBC.<\/p>\n Para mitigar el riesgo que plantea la amenaza, se recomienda bloquear todas las soluciones de escritorio remoto no aprobadas y estar atento a llamadas telef\u00f3nicas y mensajes de texto sospechosos que pretenden provenir del personal de TI interno.<\/p>\n La revelaci\u00f3n se produce cuando SocGholish (tambi\u00e9n conocido como FakeUpdates), GootLoader y Raspberry Robin han surgido como las cepas de cargadores m\u00e1s com\u00fanmente observadas en 2024, que luego act\u00faan como un trampol\u00edn para el ransomware, seg\u00fan datos de ReliaQuest.<\/p>\n “GootLoader es nuevo en la lista de los tres primeros este a\u00f1o, reemplazando a QakBot a medida que su actividad disminuye”, dijo la empresa de ciberseguridad. dicho<\/a>.<\/p>\n “Los cargadores de malware se anuncian con frecuencia en foros de cibercriminales de la red oscura, como XSS y Exploit, donde se comercializan a los cibercriminales que buscan facilitar las intrusiones en la red y la entrega de cargas \u00fatiles. Estos cargadores suelen ofrecerse a trav\u00e9s de modelos de suscripci\u00f3n, con tarifas mensuales que otorgan acceso a actualizaciones peri\u00f3dicas, soporte y nuevas funciones dise\u00f1adas para evadir la detecci\u00f3n”.<\/p>\n Una ventaja de este enfoque basado en suscripciones es que permite que incluso los actores de amenazas con experiencia t\u00e9cnica limitada realicen ataques sofisticados.<\/p>\n Tambi\u00e9n se han observado ataques de phishing que distribuyen un malware ladr\u00f3n de informaci\u00f3n conocido como 0bj3ctivity Stealer a trav\u00e9s de otro cargador llamado Ande Loader como parte de un mecanismo de distribuci\u00f3n de varias capas.<\/p>\n “La distribuci\u00f3n del malware a trav\u00e9s de scripts ofuscados y encriptados, t\u00e9cnicas de inyecci\u00f3n de memoria y la mejora continua de Ande Loader con funciones como anti-depuraci\u00f3n y ofuscaci\u00f3n de cadenas subrayan la necesidad de mecanismos de detecci\u00f3n avanzados e investigaci\u00f3n continua”, dijo eSentire. dicho<\/a>.<\/p>\n Estas campa\u00f1as son solo las \u00faltimas de una serie de ataques de phishing e ingenier\u00eda social que se han descubierto en las \u00faltimas semanas, incluso cuando los actores de amenazas est\u00e1n cada vez m\u00e1s Utilizando c\u00f3digos QR falsos como arma<\/a> con fines maliciosos –<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Atacantes-vinculados-a-Black-Basta-atacan-a-usuarios-con-malware.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n\n
\n