{"id":1396648,"date":"2024-10-11T22:27:33","date_gmt":"2024-10-11T22:27:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/github-telegram-bots-y-codigos-qr-abusados-en-una-nueva-ola-de-ataques-de-phishing\/"},"modified":"2024-10-11T22:27:40","modified_gmt":"2024-10-11T22:27:40","slug":"github-telegram-bots-y-codigos-qr-abusados-en-una-nueva-ola-de-ataques-de-phishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/github-telegram-bots-y-codigos-qr-abusados-en-una-nueva-ola-de-ataques-de-phishing\/","title":{"rendered":"GitHub, Telegram Bots y c\u00f3digos QR abusados \u200b\u200ben una nueva ola de ataques de phishing"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Se ha observado una nueva campa\u00f1a de malware con tem\u00e1tica fiscal dirigida a los sectores de seguros y finanzas que aprovecha los enlaces de GitHub en mensajes de correo electr\u00f3nico de phishing como una forma de eludir las medidas de seguridad y entregar Remcos RAT, lo que indica que el m\u00e9todo est\u00e1 ganando terreno entre los actores de amenazas.<\/p>\n

“En esta campa\u00f1a, se utilizaron repositorios leg\u00edtimos, como el software de declaraci\u00f3n de impuestos de c\u00f3digo abierto, UsTaxes, HMRC e InlandRevenue, en lugar de repositorios desconocidos y de baja estrella”, dijo el investigador de Cofense Jacob Malimban. dicho<\/a>.<\/p>\n

“El uso de repositorios confiables para distribuir malware es relativamente nuevo en comparaci\u00f3n con los actores de amenazas que crean sus propios repositorios maliciosos de GitHub. Estos enlaces maliciosos de GitHub se pueden asociar con cualquier repositorio que permita comentarios”.<\/p>\n

Un elemento central de la cadena de ataques es el abuso de la infraestructura de GitHub para organizar las cargas maliciosas. Una variaci\u00f3n de la t\u00e9cnica, divulgada por primera vez por OALABS Research en marzo de 2024, implica que los actores de amenazas abran un problema de GitHub en repositorios conocidos y carguen en \u00e9l una carga \u00fatil maliciosa, y luego cierren el problema sin guardarlo.<\/p>\n

Al hacerlo, se descubri\u00f3 que el malware cargado persiste a pesar de que el problema nunca se guarda, un vector que se ha vuelto propicio para el abuso ya que permite a los atacantes cargar cualquier archivo de su elecci\u00f3n y no dejar ning\u00fan rastro excepto el enlace a el archivo en s\u00ed.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El enfoque se ha utilizado como arma para enga\u00f1ar a los usuarios para que descarguen un cargador de malware basado en Lua que es capaz de establecer persistencia en sistemas infectados y entregar cargas \u00fatiles adicionales, como detall\u00f3 Morphisec esta semana.<\/p>\n

La campa\u00f1a de phishing detectada por Cofense emplea una t\u00e1ctica similar, con la \u00fanica diferencia de que utiliza Comentarios de GitHub<\/a> para adjuntar un archivo (es decir, el malware), despu\u00e9s de lo cual se elimina el comentario. Como en el caso anterior, el enlace permanece activo y se propaga a trav\u00e9s de correos electr\u00f3nicos de phishing.<\/p>\n

\"Ataques<\/a><\/div>\n

“Los correos electr\u00f3nicos con enlaces a GitHub son eficaces para eludir la seguridad de SEG porque GitHub suele ser un dominio confiable”, dijo Malimban. “Los enlaces de GitHub permiten a los actores de amenazas vincularse directamente al archivo de malware en el correo electr\u00f3nico sin tener que utilizar redireccionamientos de Google, c\u00f3digos QR u otras t\u00e9cnicas de derivaci\u00f3n de SEG”.<\/p>\n

El desarrollo se produce cuando Barracuda Networks revel\u00f3 m\u00e9todos novedosos adoptados por los phishers, incluidos c\u00f3digos QR basados \u200b\u200ben ASCII y Unicode y URL de blobs<\/a> como una forma de dificultar el bloqueo de contenido malicioso y evadir la detecci\u00f3n.<\/p>\n

“Los navegadores utilizan un URI de blob (tambi\u00e9n conocido como URL de blob o URL de objeto) para representar datos binarios u objetos similares a archivos (llamados blobs) que se mantienen temporalmente en la memoria del navegador”, dijo el investigador de seguridad Ashitosh Deshnur. dicho<\/a>.<\/p>\n

“Los URI de Blob permiten a los desarrolladores web trabajar con datos binarios como im\u00e1genes, v\u00eddeos o archivos directamente dentro del navegador, sin tener que enviarlos ni recuperarlos de un servidor externo”.<\/p>\n

Tambi\u00e9n surge tras una nueva investigaci\u00f3n de ESET de que los actores de amenazas detr\u00e1s del kit de herramientas Telekopye Telegram han ampliado su enfoque m\u00e1s all\u00e1 de las estafas en los mercados en l\u00ednea para apuntar a plataformas de reserva de alojamiento como Booking.com y Airbnb, con un fuerte repunte detectado en julio de 2024.<\/p>\n

\"Ataques<\/a><\/div>\n

Los ataques se caracterizan por el uso de cuentas comprometidas de hoteles y proveedores de alojamiento leg\u00edtimos para contactar objetivos potenciales, alegando supuestos problemas con el pago de la reserva y enga\u00f1\u00e1ndolos para que hagan clic en un enlace falso que les solicita que introduzcan su informaci\u00f3n financiera.<\/p>\n

“Utilizando su acceso a estas cuentas, los estafadores seleccionan a los usuarios que han reservado recientemente una estancia y no han pagado todav\u00eda (o han pagado muy recientemente) y se ponen en contacto con ellos a trav\u00e9s del chat de la plataforma”, investigadores Jakub Sou\u010dek y Radek Jizba dicho<\/a>. “Dependiendo de la plataforma y de la configuraci\u00f3n de Mammoth, esto hace que Mammoth reciba un correo electr\u00f3nico o un SMS de la plataforma de reservas”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esto hace que la estafa sea mucho m\u00e1s dif\u00edcil de detectar, ya que la informaci\u00f3n proporcionada es personalmente relevante para las v\u00edctimas, llega a trav\u00e9s del canal de comunicaci\u00f3n esperado y los sitios web falsos vinculados tienen el aspecto esperado”.<\/p>\n

Es m\u00e1s, la diversificaci\u00f3n de la huella de victimolog\u00eda se ha complementado con mejoras en el conjunto de herramientas que permiten a los grupos de estafadores acelerar el proceso de estafa mediante la generaci\u00f3n automatizada de p\u00e1ginas de phishing, mejorar la comunicaci\u00f3n con los objetivos a trav\u00e9s de chatbots interactivos, proteger los sitios web de phishing contra las interrupciones de los competidores, y otros objetivos.<\/p>\n

Las operaciones de Telekopye no han estado exentas de contratiempos. En diciembre de 2023, funcionarios encargados de hacer cumplir la ley de Chequia y Ucrania anunciaron el arresto de varios ciberdelincuentes que supuestamente hab\u00edan utilizado el bot malicioso Telegram.<\/p>\n

“Los programadores crearon, actualizaron, mantuvieron y mejoraron el funcionamiento de los bots de Telegram y las herramientas de phishing, adem\u00e1s de garantizar el anonimato de los c\u00f3mplices en Internet y brindar asesoramiento sobre c\u00f3mo ocultar actividades delictivas”, inform\u00f3 la polic\u00eda de la Rep\u00fablica Checa. dicho<\/a> en un comunicado en ese momento.<\/p>\n

“Los grupos en cuesti\u00f3n fueron administrados, desde espacios de trabajo exclusivos, por hombres de mediana edad de Europa del Este y Asia Occidental y Central”, dijo ESET. “Reclutaron a personas en situaciones dif\u00edciles de la vida, a trav\u00e9s de anuncios en portales de empleo que promet\u00edan ‘dinero f\u00e1cil’, as\u00ed como a estudiantes extranjeros t\u00e9cnicamente capacitados en las universidades”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n