{"id":1340199,"date":"2024-08-30T14:18:24","date_gmt":"2024-08-30T14:18:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/ciberatacantes-utilizan-google-sheets-para-controlar-malware-en-una-campana-de-espionaje-global\/"},"modified":"2024-08-30T14:18:28","modified_gmt":"2024-08-30T14:18:28","slug":"ciberatacantes-utilizan-google-sheets-para-controlar-malware-en-una-campana-de-espionaje-global","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ciberatacantes-utilizan-google-sheets-para-controlar-malware-en-una-campana-de-espionaje-global\/","title":{"rendered":"Ciberatacantes utilizan Google Sheets para controlar malware en una campa\u00f1a de espionaje global"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de malware que aprovecha Google Sheets como mecanismo de comando y control (C2).<\/p>\n

La actividad, detectado<\/a> por Proofpoint a partir del 5 de agosto de 2024, se hace pasar por autoridades fiscales de gobiernos de Europa, Asia y los EE. UU., con el objetivo de atacar a m\u00e1s de 70 organizaciones en todo el mundo mediante una herramienta a medida llamada Voldemort que est\u00e1 equipada para recopilar informaci\u00f3n y entregar cargas \u00fatiles adicionales.<\/p>\n

Los sectores objetivo incluyen seguros, aeroespacial, transporte, academia, finanzas, tecnolog\u00eda, industria, atenci\u00f3n m\u00e9dica, automotriz, hoteler\u00eda, energ\u00eda, gobierno, medios de comunicaci\u00f3n, manufactura, telecomunicaciones y organizaciones de beneficios sociales. <\/p>\n

La presunta campa\u00f1a de ciberespionaje no ha sido atribuida a ning\u00fan actor de amenazas espec\u00edfico. Se han enviado hasta 20.000 mensajes de correo electr\u00f3nico como parte de los ataques.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Estos correos electr\u00f3nicos afirman provenir de autoridades fiscales de EE. UU., Reino Unido, Francia, Alemania, Italia, India y Jap\u00f3n, y alertan a los destinatarios sobre cambios en sus declaraciones de impuestos y los instan a hacer clic en las URL de cach\u00e9 AMP de Google que redirigen a los usuarios a una p\u00e1gina de destino intermedia.<\/p>\n

Lo que hace la p\u00e1gina es inspeccionar el Cadena de agente de usuario<\/a> para determinar si el sistema operativo es Windows y, de ser as\u00ed, aprovechar el controlador de protocolo URI search-ms: para mostrar un archivo de acceso directo de Windows (LNK) que utiliza Adobe Acrobat Reader para hacerse pasar por un archivo PDF en un intento de enga\u00f1ar a la v\u00edctima para que lo inicie.<\/p>\n

“Si se ejecuta LNK, invocar\u00e1 PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo t\u00fanel (library), pasando un script de Python en un cuarto recurso compartido (resource) en el mismo host como argumento”, dijeron los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson.<\/p>\n

“Esto hace que Python ejecute el script sin descargar ning\u00fan archivo a la computadora, y las dependencias se cargan directamente desde el recurso compartido WebDAV”.<\/p>\n

El script de Python est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n del sistema y enviar los datos en forma de una cadena codificada en Base64 a un dominio controlado por un actor, despu\u00e9s de lo cual muestra un PDF se\u00f1uelo al usuario y descarga un archivo ZIP protegido con contrase\u00f1a de OpenDrive.<\/p>\n

El archivo ZIP, por su parte, contiene dos archivos, un ejecutable leg\u00edtimo “CiscoCollabHost.exe” que es susceptible a la carga lateral de DLL y un archivo DLL malicioso “CiscoSparkLauncher.dll” (es decir, Voldemort) que se carga lateralmente.<\/p>\n

Voldemort es una puerta trasera personalizada escrita en C que viene con capacidades para recopilar informaci\u00f3n y cargar cargas \u00fatiles de la siguiente etapa, y el malware utiliza Google Sheets para C2, exfiltraci\u00f3n de datos y ejecuci\u00f3n de comandos de los operadores.<\/p>\n

Proofpoint describi\u00f3 la actividad como alineada con amenazas persistentes avanzadas (APT) pero con “vibraciones de delito cibern\u00e9tico” debido al uso de t\u00e9cnicas populares en el panorama del delito electr\u00f3nico.<\/p>\n

“Los actores de amenazas abusan de los URI de esquemas de archivos para acceder a recursos externos de intercambio de archivos para la preparaci\u00f3n de malware, espec\u00edficamente WebDAV y Server Message Block (SMB). Esto se hace utilizando el esquema ‘file:\/\/’ y apuntando a un servidor remoto que aloja el contenido malicioso”, dijeron los investigadores.<\/p>\n

Este enfoque ha sido cada vez m\u00e1s frecuente entre las familias de malware que act\u00faan como agentes de acceso inicial (IAB), como Latrodectus, DarkGate y XWorm.<\/p>\n

Adem\u00e1s, Proofpoint afirm\u00f3 que pudo leer el contenido de Google Sheet, identificando un total de seis v\u00edctimas, incluida una que se cree que es un sandbox o un “investigador conocido”.<\/p>\n

La campa\u00f1a ha sido calificada de inusual, lo que plantea la posibilidad de que los actores de la amenaza hayan lanzado una red amplia antes de centrarse en un peque\u00f1o grupo de objetivos. Tambi\u00e9n es posible que los atacantes, probablemente con distintos niveles de experiencia t\u00e9cnica, hayan planeado infectar a varias organizaciones.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

“Si bien muchas de las caracter\u00edsticas de la campa\u00f1a se alinean con la actividad de amenazas cibern\u00e9ticas, evaluamos que es probable que se trate de una actividad de espionaje realizada para apoyar objetivos finales a\u00fan desconocidos”, dijeron los investigadores.<\/p>\n

“La amalgama frankensteiniana de capacidades inteligentes y sofisticadas, combinadas con t\u00e9cnicas y funcionalidades muy b\u00e1sicas, hace que sea dif\u00edcil evaluar el nivel de capacidad del actor de la amenaza y determinar con gran confianza los objetivos finales de la campa\u00f1a”.<\/p>\n

El desarrollo se produce luego de que Netskope Threat Labs descubri\u00f3 una versi\u00f3n actualizada de Latrodectus (versi\u00f3n 1.4) que viene con un nuevo punto final C2 y agrega dos nuevos comandos de puerta trasera que le permiten descargar shellcode de un servidor espec\u00edfico y recuperar archivos arbitrarios de una ubicaci\u00f3n remota.<\/p>\n

“Latrodectus ha evolucionado bastante r\u00e1pido, a\u00f1adiendo nuevas caracter\u00edsticas a su carga \u00fatil”, dijo el investigador de seguridad Leandro Fr\u00f3es dicho<\/a>“La comprensi\u00f3n de las actualizaciones aplicadas a su carga \u00fatil permite a los defensores mantener los canales automatizados configurados correctamente, as\u00ed como utilizar la informaci\u00f3n para seguir buscando nuevas variantes”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n