{"id":1347758,"date":"2024-09-05T08:15:20","date_gmt":"2024-09-05T08:15:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/atacantes-de-malware-utilizan-macropack-para-distribuir-havoc-brute-ratel-y-phantomcore\/"},"modified":"2024-09-05T08:15:24","modified_gmt":"2024-09-05T08:15:24","slug":"atacantes-de-malware-utilizan-macropack-para-distribuir-havoc-brute-ratel-y-phantomcore","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/atacantes-de-malware-utilizan-macropack-para-distribuir-havoc-brute-ratel-y-phantomcore\/","title":{"rendered":"Atacantes de malware utilizan MacroPack para distribuir Havoc, Brute Ratel y PhantomCore"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>5 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Amenaza cibern\u00e9tica \/ malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Es probable que los actores de amenazas est\u00e9n empleando una herramienta dise\u00f1ada para ejercicios de trabajo en equipo para distribuir malware, seg\u00fan nuevos hallazgos de Cisco Talos.<\/p>\n

El programa en cuesti\u00f3n es un marco de generaci\u00f3n de carga \u00fatil llamado Paquete de macros<\/a>que se utiliza para generar documentos de Office, scripts de Visual Basic, accesos directos de Windows y otros formatos para pruebas de penetraci\u00f3n y evaluaciones de ingenier\u00eda social. Fue desarrollado por el desarrollador franc\u00e9s Emeric Nasi.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La empresa de ciberseguridad dijo que encontr\u00f3 artefactos cargados en VirusTotal desde China, Pakist\u00e1n, Rusia y Estados Unidos, todos generados por MacroPack y utilizados para entregar varias cargas \u00fatiles como Havoc, Brute Ratel y una nueva variante de PhantomCore, un troyano de acceso remoto (RAT) atribuido a un grupo hacktivista llamado Head Mare.<\/p>\n

“Una caracter\u00edstica com\u00fan en todos los documentos maliciosos que analizamos y que nos llam\u00f3 la atenci\u00f3n es la existencia de cuatro subrutinas VBA no maliciosas”, dijo la investigadora de Talos, Vanja Svajcer. dicho<\/a>.<\/p>\n

“Estas subrutinas aparecieron en todas las muestras y no estaban ocultas. Tampoco hab\u00edan sido utilizadas por otras subrutinas maliciosas ni en ning\u00fan otro lugar de los documentos”.<\/p>\n

Un aspecto importante a tener en cuenta aqu\u00ed es que los temas de se\u00f1uelo que abarcan estos documentos son variados, desde temas gen\u00e9ricos que instruyen a los usuarios a habilitar macros hasta documentos de apariencia oficial que parecen provenir de organizaciones militares. Esto sugiere la participaci\u00f3n de distintos actores de amenazas.<\/p>\n

\"\"<\/a><\/div>\n

Tambi\u00e9n se ha observado que algunos de los documentos aprovechan las funciones avanzadas ofrecidas como parte de MacroPack para eludir las detecciones heur\u00edsticas antimalware ocultando la funcionalidad maliciosa mediante Cadenas de Markov<\/a> para crear funciones y nombres de variables aparentemente significativos.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Las cadenas de ataque, observadas entre mayo y julio de 2024, siguen un proceso de tres pasos que implica el env\u00edo de un documento de Office con trampa explosiva que contiene el c\u00f3digo VBA de MacroPack, que luego decodifica una carga \u00fatil de la siguiente etapa para finalmente buscar y ejecutar el malware final.<\/p>\n

Este desarrollo es una se\u00f1al de que los actores de amenazas est\u00e1n constantemente actualizando sus t\u00e1cticas en respuesta a las interrupciones y adoptando enfoques m\u00e1s sofisticados para la ejecuci\u00f3n del c\u00f3digo.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n