{"id":1363497,"date":"2024-09-16T17:24:18","date_gmt":"2024-09-16T17:24:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-atacan-a-los-usuarios-de-criptomonedas-en-linkedin-con-el-malware-rustdoor\/"},"modified":"2024-09-16T17:24:23","modified_gmt":"2024-09-16T17:24:23","slug":"los-piratas-informaticos-norcoreanos-atacan-a-los-usuarios-de-criptomonedas-en-linkedin-con-el-malware-rustdoor","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-norcoreanos-atacan-a-los-usuarios-de-criptomonedas-en-linkedin-con-el-malware-rustdoor\/","title":{"rendered":"Los piratas inform\u00e1ticos norcoreanos atacan a los usuarios de criptomonedas en LinkedIn con el malware RustDoor"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad financiera \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Los-piratas-informaticos-norcoreanos-atacan-a-los-usuarios-de-criptomonedas.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad siguen advirtiendo sobre los intentos de los actores de amenazas norcoreanos de apuntar a posibles v\u00edctimas en LinkedIn para distribuir malware llamado RustDoor.<\/p>\n<p>El \u00faltimo aviso proviene de Jamf Threat Labs, que dijo haber detectado un intento de ataque en el que un usuario fue contactado en la red social profesional afirmando ser un reclutador para un intercambio de criptomonedas descentralizado leg\u00edtimo (DEX) llamado STON.fi.<\/p>\n<p>La actividad cibern\u00e9tica maliciosa es parte de una campa\u00f1a de m\u00faltiples frentes desatada por actores de amenazas cibern\u00e9ticas respaldados por la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) para infiltrarse en redes de inter\u00e9s con el pretexto de realizar entrevistas o tareas de codificaci\u00f3n.<\/p>\n<p>Los sectores financiero y de criptomonedas se encuentran entre los principales objetivos de los adversarios patrocinados por el Estado que buscan generar ingresos il\u00edcitos y cumplir un conjunto de objetivos en constante evoluci\u00f3n basados \u200b\u200ben los intereses del r\u00e9gimen.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-executive\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726470741_359_Los-cibercriminales-aprovechan-los-encabezados-HTTP-para-robar-credenciales-mediante.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Estos ataques se manifiestan en forma de &#8220;campa\u00f1as de ingenier\u00eda social altamente personalizadas y dif\u00edciles de detectar&#8221; dirigidas a empleados de finanzas descentralizadas (&#8220;DeFi&#8221;), criptomonedas y negocios similares, como lo destac\u00f3 recientemente la Oficina Federal de Investigaciones de Estados Unidos (FBI) en un aviso.<\/p>\n<p>Uno de los indicadores notables de la actividad de ingenier\u00eda social de Corea del Norte se relaciona con las solicitudes para ejecutar c\u00f3digo o descargar aplicaciones en dispositivos propiedad de la empresa o dispositivos que tienen acceso a la red interna de una empresa.<\/p>\n<p>Otro aspecto que vale la pena mencionar es que dichos ataques tambi\u00e9n implican &#8220;solicitudes para realizar una &#8216;prueba previa al empleo&#8217; o un ejercicio de depuraci\u00f3n que implica la ejecuci\u00f3n de paquetes Node.js, paquetes PyPI, scripts o repositorios de GitHub no est\u00e1ndar o desconocidos&#8221;.<\/p>\n<p>En las \u00faltimas semanas se han documentado ampliamente casos de este tipo de t\u00e1cticas, lo que pone de relieve una evoluci\u00f3n persistente de las herramientas utilizadas en estas campa\u00f1as contra los objetivos.<\/p>\n<p>La \u00faltima cadena de ataque detectada por Jamf implica enga\u00f1ar a la v\u00edctima para que descargue un proyecto de Visual Studio con trampa explosiva como parte de un supuesto desaf\u00edo de codificaci\u00f3n que incorpora comandos bash para descargar dos cargas \u00fatiles de segunda etapa diferentes (&#8220;VisualStudioHelper&#8221; y &#8220;zsh_env&#8221;) con funcionalidad id\u00e9ntica.<\/p>\n<p>Este malware de segunda etapa es RustDoor, que la empresa est\u00e1 rastreando como Thiefbucket. Al momento de escribir este art\u00edculo, ninguno de los motores antimalware ha <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/03cf91ec7462a61bf48a9ffde7e481ceb3bc61e8184749e734744d55d792ef06\" target=\"_blank\">marcado<\/a> El archivo de prueba de codificaci\u00f3n comprimido es malicioso. Se carg\u00f3 en la plataforma VirusTotal el 7 de agosto de 2024.<\/p>\n<p>&#8220;Los archivos de configuraci\u00f3n integrados en las dos muestras de malware independientes muestran que VisualStudioHelper persistir\u00e1 a trav\u00e9s de cron, mientras que zsh_env persistir\u00e1 a trav\u00e9s del archivo zshrc&#8221;, dijeron los investigadores Jaron Bradley y Ferdous Saljooki.<\/p>\n<p>RustDoor, una puerta trasera para macOS, fue documentada por primera vez por Bitdefender en febrero de 2024 en relaci\u00f3n con una campa\u00f1a de malware dirigida a empresas de criptomonedas. Un an\u00e1lisis posterior de S2W descubri\u00f3 una variante de Golang denominada GateDoor que est\u00e1 destinada a infectar m\u00e1quinas Windows.<\/p>\n<p>Los hallazgos de Jamf son significativos, no s\u00f3lo porque marcan la primera vez que el malware se atribuye formalmente a actores de amenazas norcoreanos, sino tambi\u00e9n por el hecho de que el malware est\u00e1 escrito en Objective-C.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>VisualStudioHelper tambi\u00e9n est\u00e1 dise\u00f1ado para actuar como un ladr\u00f3n de informaci\u00f3n al recolectar archivos especificados en la configuraci\u00f3n, pero solo despu\u00e9s de solicitarle al usuario que ingrese su contrase\u00f1a del sistema haci\u00e9ndola pasar como si se originara en la aplicaci\u00f3n de Visual Studio para evitar levantar sospechas.<\/p>\n<p>Sin embargo, ambas cargas \u00fatiles funcionan como una puerta trasera y utilizan dos servidores diferentes para las comunicaciones de comando y control (C2).<\/p>\n<p>&#8220;Los actores de amenazas siguen estando alertas para encontrar nuevas formas de perseguir a quienes trabajan en la industria de las criptomonedas&#8221;, dijeron los investigadores. &#8220;Es importante capacitar a sus empleados, incluidos los desarrolladores, para que sean cautelosos a la hora de confiar en quienes se conectan en las redes sociales y piden a los usuarios que ejecuten software de cualquier tipo.<\/p>\n<p>&#8220;Estos esquemas de ingenier\u00eda social llevados a cabo por la RPDC provienen de personas que dominan el ingl\u00e9s y entran en la conversaci\u00f3n habiendo investigado bien su objetivo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/north-korean-hackers-target.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de septiembre de 2024\ue804Ravie LakshmananSeguridad financiera \/ Malware Los investigadores de ciberseguridad siguen advirtiendo sobre los intentos<\/p>\n","protected":false},"author":1,"featured_media":1363498,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6350,4661,4664,99,1868,6214,4667,12063,36,4669,239182,35239,4654,239508,4658,4659,4653,6213,231256,246983,4665,246984,7528,246982,239484],"class_list":["post-1363497","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacan","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-criptomonedas","tag-informaticos","tag-las-noticias-de-los-hackers","tag-linkedin","tag-los","tag-malware","tag-malware-ransomware","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-piratas","tag-rustdoor","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-usuarios","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1363497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1363497"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1363497\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1363498"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1363497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1363497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1363497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}