{"id":1408457,"date":"2024-10-22T19:26:33","date_gmt":"2024-10-22T19:26:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/marco-gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos-de-acceso-remoto\/"},"modified":"2024-10-22T19:26:39","modified_gmt":"2024-10-22T19:26:39","slug":"marco-gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos-de-acceso-remoto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/marco-gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos-de-acceso-remoto\/","title":{"rendered":"Marco Gophish utilizado en campa\u00f1as de phishing para implementar troyanos de acceso remoto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Marco-Gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los usuarios de habla rusa se han convertido en el objetivo de una nueva campa\u00f1a de phishing que aprovecha un conjunto de herramientas de phishing de c\u00f3digo abierto llamado Gophish para entregar DarkCrystal RAT (tambi\u00e9n conocido como DCRat) y un troyano de acceso remoto previamente no documentado denominado PowerRAT.<\/p>\n<p>&#8220;La campa\u00f1a involucra cadenas de infecci\u00f3n modulares que son infecciones basadas en Maldoc o HTML y requieren la intervenci\u00f3n de la v\u00edctima para desencadenar la cadena de infecci\u00f3n&#8221;, Chetan Raghuprasad, investigador de Cisco Talos. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/gophish-powerrat-dcrat\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del martes.<\/p>\n<p>El objetivo de los usuarios de habla rusa es una evaluaci\u00f3n derivada del lenguaje utilizado en los correos electr\u00f3nicos de phishing, el contenido se\u00f1uelo de los documentos maliciosos, los enlaces disfrazados de Yandex Disk (&#8220;disk-yandex[.]ru&#8221;) y p\u00e1ginas web HTML disfrazadas de VK, una red social predominantemente utilizada en el pa\u00eds.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/getgophish.com\" target=\"_blank\">gophish<\/a> se refiere a un marco de phishing de c\u00f3digo abierto que permite a las organizaciones probar sus defensas contra el phishing aprovechando plantillas f\u00e1ciles de usar y lanzar campa\u00f1as basadas en correo electr\u00f3nico que luego se pueden rastrear casi en tiempo real.<\/p>\n<p>Se ha observado que el actor de amenazas desconocido detr\u00e1s de la campa\u00f1a aprovecha el conjunto de herramientas para enviar mensajes de phishing a sus objetivos y, en \u00faltima instancia, impulsar DCRat o PowerRAT dependiendo del vector de acceso inicial utilizado: un documento malicioso de Microsoft Word o un HTML con JavaScript incorporado.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cuando la v\u00edctima abre el maldoc y habilita las macros, se ejecuta una macro falsa de Visual Basic (VB) para extraer un archivo de aplicaci\u00f3n HTML (HTA) (&#8220;UserCache.ini.hta&#8221;) y un cargador de PowerShell (&#8220;UserCache.ini&#8221;). <\/p>\n<p>La macro es responsable de configurar una clave de Registro de Windows de modo que el archivo HTA se inicie autom\u00e1ticamente cada vez que un usuario inicia sesi\u00f3n en su cuenta en el dispositivo.<\/p>\n<p>El archivo HTA, por su parte, coloca un archivo JavaScript (&#8220;UserCacheHelper.lnk.js&#8221;) que es responsable de ejecutar PowerShell Loader. El JavaScript se ejecuta utilizando un binario leg\u00edtimo de Windows llamado &#8220;cscript.exe&#8221;.<\/p>\n<p>&#8220;El script del cargador de PowerShell que se hace pasar por el archivo INI contiene datos codificados en base64 de la carga \u00fatil PowerRAT, que decodifica y ejecuta en la memoria de la m\u00e1quina de la v\u00edctima&#8221;, dijo Raghuprasad.<\/p>\n<p>El malware, adem\u00e1s de realizar un reconocimiento del sistema, recopila el n\u00famero de serie del disco y se conecta a servidores remotos ubicados en Rusia (94.103.85[.]47 o 5.252.176[.]55) para recibir m\u00e1s instrucciones.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Marco-Gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos.jpeg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Marco-Gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos.jpeg\" alt=\"\" border=\"0\" data-original-height=\"1098\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>&#8220;[PowerRAT] tiene la funcionalidad de ejecutar otros scripts o comandos de PowerShell seg\u00fan lo indique el [command-and-control] servidor, habilitando el vector de ataque para m\u00e1s infecciones en la m\u00e1quina v\u00edctima&#8221;.<\/p>\n<p>En caso de que no se reciba respuesta del servidor, PowerRAT viene equipado con una funci\u00f3n que decodifica y ejecuta un script de PowerShell integrado. Ninguna de las muestras analizadas hasta el momento tiene cadenas codificadas en Base64, lo que indica que el malware est\u00e1 en desarrollo activo.<\/p>\n<p>La cadena de infecci\u00f3n alternativa que emplea archivos HTML incrustados con JavaScript malicioso, de manera similar, desencadena un proceso de varios pasos que conduce a la implementaci\u00f3n del malware DCRat.<\/p>\n<p>&#8220;Cuando una v\u00edctima hace clic en el enlace malicioso en el correo electr\u00f3nico de phishing, se abre un archivo HTML ubicado remotamente que contiene el JavaScript malicioso en el navegador de la m\u00e1quina de la v\u00edctima y ejecuta simult\u00e1neamente el JavaScript&#8221;, se\u00f1al\u00f3 Talos. &#8220;El JavaScript tiene un blob de datos codificado en Base64 de un archivo 7-Zip de un ejecutable SFX RAR malicioso&#8221;.<\/p>\n<p>Dentro del archivo (&#8220;vkmessenger.7z&#8221;), que se descarga mediante una t\u00e9cnica llamada contrabando de HTML, hay otro SFX RAR protegido con contrase\u00f1a que contiene la carga \u00fatil RAT.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar que Netskope Threat Labs detall\u00f3 la secuencia exacta de infecci\u00f3n en relaci\u00f3n con una campa\u00f1a que aprovech\u00f3 p\u00e1ginas HTML falsas que se hac\u00edan pasar por TrueConf y VK Messenger para entregar DCRat. Adem\u00e1s, se ha propuesto el uso de un archivo autoextra\u00edble anidado. <a rel=\"nofollow noopener\" href=\"https:\/\/hunt.io\/blog\/spotting-sparkrat-detection-tactics-and-sandbox-findings\" target=\"_blank\">observado previamente<\/a> en campa\u00f1as que entregan SparkRAT.<\/p>\n<p>&#8220;El ejecutable SFX RAR est\u00e1 empaquetado con ejecutables de cargador o cuentagotas maliciosos, un archivo por lotes y un documento se\u00f1uelo en algunas muestras&#8221;, dijo Raghuprasad.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729625193_923_Marco-Gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos.jpeg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729625193_923_Marco-Gophish-utilizado-en-campanas-de-phishing-para-implementar-troyanos.jpeg\" alt=\"\" border=\"0\" data-original-height=\"809\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>&#8220;El SFX RAR coloca GOLoader y la hoja de c\u00e1lculo de Excel del documento se\u00f1uelo en la carpeta temporal de aplicaciones de perfil de usuario de la m\u00e1quina v\u00edctima y ejecuta GOLoader junto con la apertura del documento se\u00f1uelo&#8221;.<\/p>\n<p>El cargador basado en Golang tambi\u00e9n est\u00e1 dise\u00f1ado para recuperar el flujo de datos binarios DCRat desde una ubicaci\u00f3n remota a trav\u00e9s de una URL codificada que apunta a un archivo ahora eliminado. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/mrbrounr\" target=\"_blank\">repositorio de GitHub<\/a> y gu\u00e1rdelo como &#8220;file.exe&#8221; en la carpeta del escritorio de la m\u00e1quina de la v\u00edctima.<\/p>\n<p>DCRat es una RAT modular que puede robar datos confidenciales, capturar capturas de pantalla y pulsaciones de teclas, proporcionar acceso de control remoto al sistema comprometido y facilitar la descarga y ejecuci\u00f3n de archivos adicionales.<\/p>\n<p>&#8220;Establece persistencia en la m\u00e1quina v\u00edctima creando varias tareas de Windows para ejecutar en diferentes intervalos o durante el proceso de inicio de sesi\u00f3n de Windows&#8221;, dijo Talos. &#8220;La RAT se comunica con el servidor C2 a trav\u00e9s de una URL codificada en el archivo de configuraci\u00f3n de RAT [&#8230;] y extrae los datos confidenciales recopilados de la m\u00e1quina v\u00edctima&#8221;.<\/p>\n<p>El desarrollo se produce cuando Cofense advirti\u00f3 sobre campa\u00f1as de phishing que incorporan contenido malicioso dentro de archivos de disco duro virtual (VHD) como una forma de evitar la detecci\u00f3n por Secure Email Gateways (SEG) y, en \u00faltima instancia, distribuir Remcos RAT o XWorm.<\/p>\n<p>&#8220;Los actores de amenazas env\u00edan correos electr\u00f3nicos con archivos adjuntos .ZIP que contienen archivos de disco duro virtual o enlaces incrustados a descargas que contienen un archivo de disco duro virtual que la v\u00edctima puede montar y explorar&#8221;, dijo el investigador de seguridad Kahng An. <a rel=\"nofollow noopener\" href=\"https:\/\/cofense.com\/blog\/how-virtual-hard-drive-files-are-bypassing-your-secure-email-gateway-antivirus-scanners\" target=\"_blank\">dicho<\/a>. &#8220;A partir de ah\u00ed, se puede enga\u00f1ar a la v\u00edctima para que ejecute una carga \u00fatil maliciosa&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/gophish-framework-used-in-phishing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los usuarios de habla rusa se han convertido en el objetivo de una nueva campa\u00f1a de phishing que<\/p>\n","protected":false},"author":1,"featured_media":1408458,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,3532,4664,259342,32935,201033,140,4654,201031,4659,4653,4655,18,8178,51115,246983,255454,246984,201032,74746,932,246982,4660],"class_list":["post-1408457","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-campanas","tag-como-hackear","tag-gophish","tag-implementar","tag-las-noticias-de-los-piratas-informaticos","tag-marco","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-phishing","tag-remoto","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-troyanos","tag-utilizado","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1408457"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408457\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1408458"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1408457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1408457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1408457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}