Los usuarios de dispositivos m\u00f3viles en Brasil son el objetivo de una nueva campa\u00f1a de malware que distribuye un nuevo troyano bancario para Android llamado Rocinante.<\/p>\n
“Esta familia de malware es capaz de realizar registros de teclas mediante el Servicio de Accesibilidad y tambi\u00e9n puede robar informaci\u00f3n de identificaci\u00f3n personal de sus v\u00edctimas mediante pantallas de phishing que se hacen pasar por diferentes bancos”, dijo la empresa de seguridad holandesa ThreatFabric dicho<\/a>.<\/p>\n “Por \u00faltimo, puede utilizar toda esta informaci\u00f3n exfiltrada para realizar la toma de control del dispositivo (DTO), aprovechando los privilegios del servicio de accesibilidad para lograr acceso remoto completo al dispositivo infectado”.<\/p>\n Algunos de los objetivos m\u00e1s destacados del malware incluyen instituciones financieras como Ita\u00fa Shop, Santander, con aplicaciones falsas que se hacen pasar por Bradesco Prime y Correios Celular, entre otras.<\/p>\n El an\u00e1lisis del c\u00f3digo fuente del malware ha revelado que los operadores llaman internamente a Rocinante Pegasus (o PegasusSpy). Cabe se\u00f1alar que el nombre Pegasus no tiene relaci\u00f3n con un software esp\u00eda multiplataforma desarrollado por el proveedor de vigilancia comercial NSO Group.<\/p>\n Dicho esto, se considera que Pegasus es obra de un actor de amenazas denominado DukeEugene, que tambi\u00e9n es conocido por cepas de malware similares como ERMAC, BlackRock, Hook y Loot, seg\u00fan un an\u00e1lisis reciente de Silent Push.<\/p>\n ThreatFabric dijo que identific\u00f3 partes del malware Rocinante que est\u00e1n directamente influenciadas por las primeras iteraciones de ERMAC, aunque se cree que la filtraci\u00f3n del c\u00f3digo fuente de ERMAC en 2023 puede haber jugado un papel.<\/p>\n “Este es el primer caso en el que una familia de malware original tom\u00f3 el c\u00f3digo de la filtraci\u00f3n e implement\u00f3 solo una parte de \u00e9l en su c\u00f3digo”, se\u00f1al\u00f3. “Tambi\u00e9n es posible que estas dos versiones sean bifurcaciones separadas del mismo proyecto inicial”.<\/p>\n Rocinante se distribuye principalmente a trav\u00e9s de sitios de phishing que tienen como objetivo enga\u00f1ar a usuarios desprevenidos para que instalen aplicaciones falsificadas que, una vez instaladas, solicitan privilegios de servicio de accesibilidad para registrar todas las actividades en el dispositivo infectado, interceptar mensajes SMS y mostrar p\u00e1ginas de inicio de sesi\u00f3n de phishing.<\/p>\n Tambi\u00e9n establece contacto con un servidor de comando y control (C2) para esperar m\u00e1s instrucciones (que simulan toques y deslizamientos) que se ejecutar\u00e1n de forma remota. La informaci\u00f3n personal recopilada se filtra a un bot de Telegram.<\/p>\n “El robot extrae la informaci\u00f3n de identificaci\u00f3n personal \u00fatil obtenida mediante p\u00e1ginas de inicio de sesi\u00f3n falsas que se hacen pasar por los bancos de destino. Luego publica esta informaci\u00f3n, formateada, en un chat al que los delincuentes tienen acceso”, se\u00f1al\u00f3 ThreatFabric.<\/p>\n “La informaci\u00f3n cambia ligeramente seg\u00fan qu\u00e9 p\u00e1gina de inicio de sesi\u00f3n falsa se haya utilizado para obtenerla e incluye informaci\u00f3n del dispositivo, como modelo y n\u00famero de tel\u00e9fono, n\u00famero de CPF, contrase\u00f1a o n\u00famero de cuenta”.<\/p>\n El desarrollo se produce luego de que Symantec destac\u00f3 otra campa\u00f1a de malware troyano bancario que explota el servidor seguro.[.]Dominio net para orientarse a regiones de habla hispana y portuguesa.<\/p>\n “El ataque de m\u00faltiples etapas comienza con URL maliciosas que conducen a un archivo que contiene un archivo .hta ofuscado”, dijo la empresa propiedad de Broadcom. dicho<\/a>.<\/p>\n “Este archivo lleva a una carga \u00fatil de JavaScript que realiza m\u00faltiples comprobaciones de AntiVM y AntiAV antes de descargar la carga \u00fatil final de AutoIT. Esta carga \u00fatil se carga mediante inyecci\u00f3n de procesos con el objetivo de robar informaci\u00f3n bancaria y credenciales del sistema de la v\u00edctima y exfiltrarlas a un servidor C2”.<\/p>\n Tambi\u00e9n sigue la aparici\u00f3n de un nuevo “extensionware como servicio” que se anuncia para su venta a trav\u00e9s de una nueva versi\u00f3n de Genesis Market, que fue cerrado por las fuerzas del orden a principios de 2023 y dise\u00f1ado para robar informaci\u00f3n confidencial de los usuarios de la regi\u00f3n de Am\u00e9rica Latina (LATAM) utilizando extensiones de navegador web maliciosas propagadas en Chrome Web Store.<\/p>\n La actividad, activa desde mediados de 2023 y dirigida a M\u00e9xico y otras naciones de Latinoam\u00e9rica, ha sido atribuida a un grupo de delitos electr\u00f3nicos llamado Cybercartel, que ofrece este tipo de servicios a otros grupos de cibercriminales. Las extensiones ya no est\u00e1n disponibles para su descarga.<\/p>\n “La extensi\u00f3n maliciosa de Google Chrome se disfraza como una aplicaci\u00f3n leg\u00edtima, enga\u00f1ando a los usuarios para que la instalen desde sitios web comprometidos o campa\u00f1as de phishing”, dijeron los investigadores de seguridad Rams\u00e9s V\u00e1zquez y Karla G\u00f3mez del equipo de inteligencia de amenazas Metabase Q Ocelot. dicho<\/a>.<\/p>\n “Una vez instalada la extensi\u00f3n, inyecta c\u00f3digo JavaScript en las p\u00e1ginas web que visita el usuario. Este c\u00f3digo puede interceptar y manipular el contenido de las p\u00e1ginas, as\u00ed como capturar datos confidenciales como credenciales de inicio de sesi\u00f3n, informaci\u00f3n de tarjetas de cr\u00e9dito y otros datos ingresados \u200b\u200bpor el usuario, seg\u00fan la campa\u00f1a espec\u00edfica y el tipo de informaci\u00f3n a la que se dirige”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-troyano-Rocinante-se-hace-pasar-por-aplicaciones-bancarias-para.jpg\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/section>\n