{"id":1320761,"date":"2024-08-16T13:39:14","date_gmt":"2024-08-16T13:39:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-utilizan-sitios-de-marcas-falsas-para-difundir-el-malware-danabot-y-stealc\/"},"modified":"2024-08-16T13:39:19","modified_gmt":"2024-08-16T13:39:19","slug":"los-piratas-informaticos-rusos-utilizan-sitios-de-marcas-falsas-para-difundir-el-malware-danabot-y-stealc","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-rusos-utilizan-sitios-de-marcas-falsas-para-difundir-el-malware-danabot-y-stealc\/","title":{"rendered":"Los piratas inform\u00e1ticos rusos utilizan sitios de marcas falsas para difundir el malware DanaBot y StealC"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ Robo de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han arrojado luz sobre una sofisticada campa\u00f1a de robo de informaci\u00f3n que se hace pasar por marcas leg\u00edtimas para distribuir malware como DanaBot y StealC.<\/p>\n

Se dice que el grupo de actividades, orquestado por ciberdelincuentes de habla rusa y cuyo nombre en c\u00f3digo es Tusk, abarca varias subcampa\u00f1as que aprovechan la reputaci\u00f3n de las plataformas para enga\u00f1ar a los usuarios para que descarguen el malware utilizando sitios falsos y cuentas de redes sociales.<\/p>\n

“Todas las subcampa\u00f1as activas alojan el descargador inicial en Dropbox”, afirman los investigadores de Kaspersky Elsayed Elrefaei y AbdulRhman Alfaifi. dicho<\/a>“Este programa de descarga es responsable de enviar muestras adicionales de malware a la m\u00e1quina de la v\u00edctima, que en su mayor\u00eda son ladrones de informaci\u00f3n (DanaBot y StealC) y recortadores”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

De las 19 subcampa\u00f1as identificadas hasta la fecha, se dice que tres est\u00e1n activas actualmente. El nombre “Tusk” es una referencia a la palabra “Mammoth” que utilizan los actores de amenazas en los mensajes de registro asociados con el descargador inicial. Vale la pena se\u00f1alar que “mamut” es un t\u00e9rmino del argot que suelen utilizar los grupos rusos de delitos electr\u00f3nicos para referirse a las v\u00edctimas.<\/p>\n

Las campa\u00f1as tambi\u00e9n se destacan por emplear t\u00e1cticas de phishing para enga\u00f1ar a las v\u00edctimas y lograr que proporcionen su informaci\u00f3n personal y financiera, que luego se vende en la red oscura o se utiliza para obtener acceso no autorizado a sus cuentas de juego y billeteras de criptomonedas.<\/p>\n

La primera de las tres subcampa\u00f1as, conocida como TidyMe, imita a peerme[.]io con un sitio similar alojado en tidyme[.]io (as\u00ed como tidymeapp[.]io y tidyme[.]aplicaci\u00f3n) que solicita un clic para descargar un programa malicioso para sistemas Windows y macOS que se distribuye desde Dropbox.<\/p>\n

El descargador es una aplicaci\u00f3n Electron que, cuando se inicia, solicita a la v\u00edctima que ingrese el CAPTCHA que se muestra, despu\u00e9s de lo cual se muestra la interfaz principal de la aplicaci\u00f3n, mientras se obtienen de forma encubierta dos archivos maliciosos adicionales y se ejecutan en segundo plano.<\/p>\n

Ambas cargas \u00fatiles observadas en la campa\u00f1a son artefactos Hijack Loader, que en \u00faltima instancia lanzan una variante del malware ladr\u00f3n StealC con capacidades para recopilar una amplia gama de informaci\u00f3n.<\/p>\n

\"Malware<\/a><\/div>\n

RuneOnlineWorld (“mundo de runeonline”)[.]io”), la segunda subcampa\u00f1a, implica el uso de un sitio web falso que simula un juego multijugador masivo en l\u00ednea (MMO) llamado Rise Online World para distribuir un descargador similar que allana el camino para DanaBot y StealC en hosts comprometidos.<\/p>\n

Tambi\u00e9n distribuido a trav\u00e9s de Hijack Loader en esta campa\u00f1a hay un malware clipper basado en Go que est\u00e1 dise\u00f1ado para monitorear el contenido del portapapeles y sustituir las direcciones de billetera copiadas por la v\u00edctima con una billetera Bitcoin controlada por el atacante para realizar transacciones fraudulentas.<\/p>\n

Para completar las campa\u00f1as activas est\u00e1 Voico, que se hace pasar por un proyecto de traducci\u00f3n de IA llamado YOUS (yous[.]ai) con una contraparte maliciosa llamada voico[.]io para difundir un descargador inicial que, al instalarse, pide a la v\u00edctima que complete un formulario de registro que contiene sus credenciales y luego registra la informaci\u00f3n en la consola.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Las cargas \u00fatiles finales exhiben un comportamiento similar al de la segunda subcampa\u00f1a, con la \u00fanica distinci\u00f3n de que el malware StealC utilizado en este caso se comunica con un servidor de comando y control (C2) diferente.<\/p>\n

“Las campa\u00f1as […] “Estos datos demuestran la amenaza persistente y en evoluci\u00f3n que plantean los cibercriminales, que son expertos en imitar proyectos leg\u00edtimos para enga\u00f1ar a las v\u00edctimas”, afirmaron los investigadores. “El uso de t\u00e9cnicas de ingenier\u00eda social como el phishing, junto con mecanismos de distribuci\u00f3n de malware en varias etapas, pone de relieve las capacidades avanzadas de los actores de amenazas implicados”.<\/p>\n

“Al explotar la confianza que los usuarios depositan en plataformas conocidas, estos atacantes implementan eficazmente una variedad de malware dise\u00f1ado para robar informaci\u00f3n confidencial, comprometer sistemas y, en \u00faltima instancia, obtener ganancias financieras”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n