Un malware previamente no documentado llamado SambaSpy est\u00e1 apuntando exclusivamente a usuarios en Italia a trav\u00e9s de una campa\u00f1a de phishing orquestada por un presunto actor de amenazas que habla portugu\u00e9s brasile\u00f1o.<\/p>\n
“Los actores de amenazas generalmente intentan lanzar una red amplia para maximizar sus ganancias, pero estos atacantes se centran en un solo pa\u00eds”, dijo Kaspersky dicho<\/a> En un nuevo an\u00e1lisis, se afirma que “es probable que los atacantes est\u00e9n tanteando el terreno con usuarios italianos antes de expandir sus operaciones a otros pa\u00edses”.<\/p>\n El punto de partida del ataque es un correo electr\u00f3nico de phishing que incluye un archivo adjunto en formato HTML o un enlace integrado que inicia el proceso de infecci\u00f3n. Si se abre el archivo adjunto en formato HTML, se utiliza un archivo ZIP que contiene un programa de descarga o un dropper provisional para implementar y ejecutar la carga \u00fatil del RAT multifuncional.<\/p>\n El downloader, por su parte, se encarga de obtener el malware de un servidor remoto. El dropper, por otro lado, hace lo mismo, pero extrae el payload del archivo en lugar de recuperarlo de una ubicaci\u00f3n externa. <\/p>\n La segunda cadena de infecci\u00f3n con el enlace trampa es mucho m\u00e1s elaborada, ya que al hacer clic en \u00e9l se redirige al usuario a una factura leg\u00edtima alojada en FattureInCloud si no es el objetivo previsto.<\/p>\n En un escenario alternativo, al hacer clic en la misma URL, la v\u00edctima es dirigida a un servidor web malicioso que ofrece una p\u00e1gina HTML con c\u00f3digo JavaScript que incluye comentarios escritos en portugu\u00e9s brasile\u00f1o.<\/p>\n “Redirige a los usuarios a una URL maliciosa de OneDrive, pero solo si utilizan Edge, Firefox o Chrome con el idioma configurado en italiano”, dijo el proveedor de ciberseguridad ruso. “Si los usuarios no pasan estas comprobaciones, permanecen en la p\u00e1gina”.<\/p>\n A los usuarios que cumplen estos requisitos se les entrega un documento PDF alojado en Microsoft OneDrive que les indica que deben hacer clic en un hiperv\u00ednculo para ver el documento, despu\u00e9s de lo cual se les dirige a un archivo JAR malicioso alojado en MediaFire que contiene el descargador o el cuentagotas como antes.<\/p>\n SambaSpy es un troyano de acceso remoto repleto de funciones desarrollado en Java, nada menos que una navaja suiza que puede manejar la administraci\u00f3n del sistema de archivos, la administraci\u00f3n de procesos, la administraci\u00f3n de escritorio remoto, la carga\/descarga de archivos, el control de la c\u00e1mara web, el registro de teclas y el seguimiento del portapapeles, la captura de capturas de pantalla y el shell remoto.<\/p>\n Tambi\u00e9n est\u00e1 equipado para cargar complementos adicionales en tiempo de ejecuci\u00f3n mediante el lanzamiento de un archivo en el disco previamente descargado por el RAT, lo que le permite aumentar sus capacidades seg\u00fan sea necesario. Adem\u00e1s de eso, est\u00e1 dise\u00f1ado para robar credenciales de navegadores web como Chrome, Edge, Opera, Brave, Iridium y Vivaldi.<\/p>\n La evidencia de infraestructura sugiere que el actor de amenazas detr\u00e1s de la campa\u00f1a tambi\u00e9n est\u00e1 apuntando a Brasil y Espa\u00f1a, lo que apunta a una expansi\u00f3n operativa.<\/p>\n “Existen diversas conexiones con Brasil, como artefactos ling\u00fc\u00edsticos en el c\u00f3digo y dominios que apuntan a usuarios brasile\u00f1os”, afirm\u00f3 Kaspersky. “Esto coincide con el hecho de que los atacantes de Am\u00e9rica Latina suelen apuntar a pa\u00edses europeos con idiomas estrechamente relacionados, a saber, Italia, Espa\u00f1a y Portugal”.<\/p>\n El desarrollo llega semanas despu\u00e9s de que Trend Micro advirtiera sobre un aumento en las campa\u00f1as que distribuyen troyanos bancarios como BBTok, Grandoreiro y Mekotio dirigidos a la regi\u00f3n latinoamericana a trav\u00e9s de estafas de phishing que utilizan transacciones comerciales y transacciones judiciales como se\u00f1uelos.<\/p>\n Mekotio “emplea una nueva t\u00e9cnica donde el script de PowerShell del troyano ahora est\u00e1 ofuscado, mejorando su capacidad para evadir la detecci\u00f3n”, dijo la compa\u00f1\u00eda. dicho<\/a>destacando el uso de enlaces de phishing por parte de BBTok para descargar archivos ZIP o ISO que contienen archivos LNK que act\u00faan como un punto de activaci\u00f3n para las infecciones.<\/p>\n El archivo LNK se utiliza para avanzar al siguiente paso ejecutando el binario leg\u00edtimo MSBuild.exe, que se encuentra dentro del archivo ISO. Posteriormente, carga un archivo XML malicioso tambi\u00e9n oculto dentro del archivo ISO, que luego aprovecha rundll32.exe para ejecutar la carga \u00fatil de la DLL BBTok.<\/p>\n “Al utilizar la utilidad leg\u00edtima de Windows MSBuild.exe, los atacantes pueden ejecutar su c\u00f3digo malicioso y evadir la detecci\u00f3n”, se\u00f1al\u00f3 Trend Micro.<\/p>\n Las cadenas de ataque asociadas con Mekotio comienzan con una URL maliciosa en el correo electr\u00f3nico de phishing que, cuando se hace clic, dirige al usuario a un sitio web falso que entrega un archivo ZIP, que contiene un archivo por lotes dise\u00f1ado para ejecutar un script de PowerShell.<\/p>\n El script de PowerShell act\u00faa como un descargador de segunda etapa para ejecutar el troyano por medio de un script AutoHotKey, pero no antes de realizar un reconocimiento del entorno de la v\u00edctima para confirmar que efectivamente se encuentra en uno de los pa\u00edses objetivo.<\/p>\n “Las estafas de phishing m\u00e1s sofisticadas dirigidas a usuarios latinoamericanos para robar credenciales bancarias confidenciales y realizar transacciones bancarias no autorizadas subrayan la urgente necesidad de mejorar las medidas de ciberseguridad contra los m\u00e9todos cada vez m\u00e1s avanzados empleados por los ciberdelincuentes”, dijeron los investigadores de Trend Micro.<\/p>\n “Estos troyanos [have] se han vuelto cada vez m\u00e1s h\u00e1biles para evadir la detecci\u00f3n y robar informaci\u00f3n confidencial, mientras que las bandas detr\u00e1s de ellos se vuelven m\u00e1s audaces al apuntar a grupos m\u00e1s grandes para obtener mayores ganancias”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-nuevo-malware-SambaSpy-vinculado-a-Brasil-ataca-a-usuarios.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\nNuevas campa\u00f1as de BBTok y Mekotio apuntan a Am\u00e9rica Latina<\/h3>\n
<\/a><\/center><\/section>\n