{"id":1346223,"date":"2024-09-04T06:22:23","date_gmt":"2024-09-04T06:22:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-el-software-vpn-globalprotect-falso-en-un-nuevo-ataque-de-malware-wikiloader\/"},"modified":"2024-09-04T06:22:27","modified_gmt":"2024-09-04T06:22:27","slug":"los-piratas-informaticos-utilizan-el-software-vpn-globalprotect-falso-en-un-nuevo-ataque-de-malware-wikiloader","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-utilizan-el-software-vpn-globalprotect-falso-en-un-nuevo-ataque-de-malware-wikiloader\/","title":{"rendered":"Los piratas inform\u00e1ticos utilizan el software VPN GlobalProtect falso en un nuevo ataque de malware WikiLoader"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>4 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ Seguridad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una nueva campa\u00f1a de malware est\u00e1 suplantando el software VPN GlobalProtect de Palo Alto Networks para distribuir una variante del cargador WikiLoader (tambi\u00e9n conocido como WailingCrab) mediante una campa\u00f1a de optimizaci\u00f3n de motores de b\u00fasqueda (SEO).<\/p>\n

La actividad de publicidad maliciosa, observada en junio de 2024, se aleja de las t\u00e1cticas observadas anteriormente en las que el malware se propag\u00f3 a trav\u00e9s de correos electr\u00f3nicos de phishing tradicionales, dijeron los investigadores de Unit 42 Mark Lim y Tom Marsden. dicho<\/a>.<\/p>\n

WikiLoader, documentado por primera vez por Proofpoint en agosto de 2023, ha sido atribuido a un actor de amenazas conocido como TA544, y los ataques por correo electr\u00f3nico aprovechan el malware para implementar Danabot y Ursnif.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Luego, a principios de abril, la empresa de ciberseguridad surcoreana AhnLab detall\u00f3 una campa\u00f1a de ataque que aprovech\u00f3 una versi\u00f3n troyanizada de un complemento de Notepad++ como vector de distribuci\u00f3n.<\/p>\n

Dicho esto, se sospecha que el cargador en alquiler es utilizado por al menos dos corredores de acceso inicial (IAB), seg\u00fan la Unidad 42, afirmando que las cadenas de ataque se caracterizan por t\u00e1cticas que le permiten evadir la detecci\u00f3n por parte de herramientas de seguridad.<\/p>\n

“Los atacantes suelen utilizar el envenenamiento SEO como vector de acceso inicial para enga\u00f1ar a las personas para que visiten una p\u00e1gina que falsifica el resultado de b\u00fasqueda leg\u00edtimo para entregar malware en lugar del producto buscado”, dijeron los investigadores.<\/p>\n

“La infraestructura de distribuci\u00f3n de esta campa\u00f1a aprovech\u00f3 sitios web clonados reetiquetados como GlobalProtect junto con repositorios Git basados \u200b\u200ben la nube”.<\/p>\n

\"\"<\/a><\/div>\n

De esta forma, a los usuarios que terminan buscando el software GlobalProtect se les muestran anuncios de Google que, al hacer clic, redirigen a los usuarios a una p\u00e1gina de descarga falsa de GlobalProtect, lo que desencadena efectivamente la secuencia de infecci\u00f3n.<\/p>\n

El instalador MSI incluye un ejecutable (“GlobalProtect64.exe”) que, en realidad, es una versi\u00f3n renombrada de una aplicaci\u00f3n leg\u00edtima de compraventa de acciones de TD Ameritrade (ahora parte de Charles Schwab) utilizada para cargar lateralmente una DLL maliciosa llamada “i4jinst.dll”.<\/p>\n

Esto allana el camino para la ejecuci\u00f3n del c\u00f3digo shell que pasa por una secuencia de pasos para finalmente descargar y ejecutar la puerta trasera WikiLoader desde un servidor remoto.<\/p>\n

Para mejorar a\u00fan m\u00e1s la percepci\u00f3n de legitimidad del instalador y enga\u00f1ar a las v\u00edctimas, se muestra un mensaje de error falso al final de todo el proceso, indicando que faltan ciertas bibliotecas en sus computadoras con Windows.<\/p>\n

Adem\u00e1s de utilizar versiones renombradas de software leg\u00edtimo para instalar el malware, los actores de amenazas han incorporado controles anti-an\u00e1lisis que determinan si WikiLoader se est\u00e1 ejecutando en un entorno virtualizado y se finalizan cuando se encuentran procesos relacionados con el software de la m\u00e1quina virtual.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Si bien no est\u00e1 claro el motivo del cambio del phishing al envenenamiento de SEO como mecanismo de propagaci\u00f3n, Unit 42 teoriz\u00f3 que es posible que la campa\u00f1a sea obra de otro IAB o que los grupos existentes que distribuyen el malware lo hayan hecho en respuesta a una divulgaci\u00f3n p\u00fablica.<\/p>\n

“La combinaci\u00f3n de infraestructura falsificada, comprometida y leg\u00edtima aprovechada por las campa\u00f1as de WikiLoader refuerza la atenci\u00f3n de los autores de malware para construir un cargador operativo seguro y robusto, con m\u00faltiples [command-and-control] configuraciones”, dijeron los investigadores.<\/p>\n

La revelaci\u00f3n se produce d\u00edas despu\u00e9s de que Trend Micro descubriera una nueva campa\u00f1a que tambi\u00e9n aprovecha un software VPN GlobalProtect falso para infectar a usuarios en Medio Oriente con malware de puerta trasera.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n