Una campa\u00f1a de phishing en curso est\u00e1 empleando temas relacionados con la infracci\u00f3n de derechos de autor para enga\u00f1ar a las v\u00edctimas para que descarguen una versi\u00f3n m\u00e1s nueva del ladr\u00f3n de informaci\u00f3n Rhadamanthys desde julio de 2024.<\/p>\n
La empresa de ciberseguridad Check Point est\u00e1 rastreando la campa\u00f1a a gran escala bajo el nombre CopiaRh(derecha)adamantys<\/strong>. Las regiones objetivo incluyen Estados Unidos, Europa, Asia Oriental y Am\u00e9rica del Sur.<\/p>\n “La campa\u00f1a se hace pasar por docenas de empresas, mientras que cada correo electr\u00f3nico se env\u00eda a una entidad espec\u00edfica desde una cuenta de Gmail diferente, adaptando la empresa suplantada y el idioma de cada entidad objetivo”, dijo la empresa. dicho<\/a> en un an\u00e1lisis t\u00e9cnico. “Casi el 70% de las empresas suplantadas pertenecen a los sectores de entretenimiento\/medios y tecnolog\u00eda\/software”.<\/p>\n Los ataques destacan por el despliegue de la versi\u00f3n 0.7 del ladr\u00f3n Rhadamanthys, que, como detall\u00f3 Insikt Group de Recorded Future a principios del mes pasado, incorpora inteligencia artificial (IA) para el reconocimiento \u00f3ptico de caracteres (OCR).<\/p>\n La compa\u00f1\u00eda israel\u00ed dijo que la actividad se superpone con una campa\u00f1a que Cisco Talos revel\u00f3 la semana pasada dirigida a usuarios de cuentas comerciales y publicitarias de Facebook en Taiw\u00e1n para entregar malware ladr\u00f3n Lumma o Rhadamanthys.<\/p>\n Las cadenas de ataques se caracterizan por el uso de t\u00e1cticas de phishing que implican el env\u00edo de mensajes de correo electr\u00f3nico alegando supuestas violaciones de derechos de autor haci\u00e9ndose pasar por empresas conocidas.<\/p>\n Estos correos electr\u00f3nicos se env\u00edan desde cuentas de Gmail y afirman ser de representantes legales de las empresas suplantadas. El contenido del mensaje acusa a los destinatarios de hacer un mal uso de su marca en las plataformas de redes sociales y les solicita que eliminen las im\u00e1genes y v\u00eddeos en cuesti\u00f3n.<\/p>\n “Se dice que las instrucciones de eliminaci\u00f3n est\u00e1n en un archivo protegido con contrase\u00f1a. Sin embargo, el archivo adjunto es un enlace de descarga a appspot.com, vinculado a la cuenta de Gmail, que redirige al usuario a Dropbox o Discord para descargar un archivo protegido con contrase\u00f1a. (con la contrase\u00f1a proporcionada en el correo electr\u00f3nico)”, dijo Check Point.<\/p>\n El archivo RAR contiene tres componentes: un ejecutable leg\u00edtimo vulnerable a la carga lateral de DLL, la DLL maliciosa que contiene la carga \u00fatil del ladr\u00f3n y un documento se\u00f1uelo. Una vez que se ejecuta el binario, descarga el archivo DLL, lo que luego allana el camino para la implementaci\u00f3n de Rhadamanthys.<\/p>\n Check Point, que atribuy\u00f3 la campa\u00f1a a un probable grupo de delitos cibern\u00e9ticos, dijo que es posible que los actores de amenazas hayan utilizado herramientas de inteligencia artificial dada la escala de la campa\u00f1a y la variedad de se\u00f1uelos y correos electr\u00f3nicos de los remitentes.<\/p>\n “El ataque generalizado e indiscriminado de la campa\u00f1a a organizaciones en m\u00faltiples regiones sugiere que fue orquestada por un grupo de cibercrimen con motivaci\u00f3n financiera en lugar de un actor de un estado-naci\u00f3n”, dijo. “Su alcance global, sus t\u00e1cticas de phishing automatizadas y sus diversos se\u00f1uelos demuestran c\u00f3mo los atacantes evolucionan continuamente para mejorar sus tasas de \u00e9xito”.<\/p>\n Los hallazgos se producen cuando Kaspersky arroja luz sobre un nuevo “paquete de crimeware con todas las funciones” denominado SteelFox que se propaga a trav\u00e9s de publicaciones en foros, rastreadores de torrents y blogs, haci\u00e9ndose pasar por utilidades leg\u00edtimas como Foxit PDF Editor, JetBrains y AutoCAD.<\/p>\n La campa\u00f1a, que se remonta a febrero de 2023, se ha cobrado v\u00edctimas en todo el mundo, en particular en Brasil, China, Rusia, M\u00e9xico, Emiratos \u00c1rabes Unidos, Egipto, Argelia, Vietnam, India y Sri Lanka. No se ha atribuido a ning\u00fan actor o grupo de amenazas conocido.<\/p>\n “Esta amenaza, entregada a trav\u00e9s de sofisticadas cadenas de ejecuci\u00f3n que incluyen shellcoding, abusa de los servicios y controladores de Windows”, dijo el investigador de seguridad Kirill Korchemny. dicho<\/a>. “Tambi\u00e9n utiliza malware ladr\u00f3n para extraer los datos de la tarjeta de cr\u00e9dito de la v\u00edctima, as\u00ed como detalles sobre el dispositivo infectado”.<\/p>\n El punto de partida es una aplicaci\u00f3n de cuentagotas que se hace pasar por versiones descifradas de software popular y que, cuando se ejecuta, solicita acceso de administrador y suelta un cargador de siguiente etapa que, a su vez, establece la persistencia y lanza la DLL SteelFox.<\/p>\n Posteriormente se abusa del acceso de administrador para crear un servicio que ejecuta una versi\u00f3n anterior de WinRing0.sys<\/a>una biblioteca de acceso al hardware para Windows que es vulnerable a CVE-2020-14979<\/a> y CVE-2021-41285<\/a>permitiendo as\u00ed que el actor de la amenaza obtenga privilegios NTSYSTEM.<\/p>\n “Este controlador tambi\u00e9n es un componente del minero XMRig, por lo que se utiliza con fines mineros”, se\u00f1al\u00f3 Korchemny. “Despu\u00e9s de inicializar el controlador, la muestra inicia el minero. Esto representa un ejecutable modificado de XMRig con rellenos de c\u00f3digo basura. Se conecta a un grupo de miner\u00eda con credenciales codificadas”.<\/p>\n El minero, por su parte, se descarga desde un repositorio de GitHub, y el malware tambi\u00e9n inicia contacto con un servidor remoto a trav\u00e9s de TLS versi\u00f3n 1.3 para extraer datos confidenciales de los navegadores web, como cookies, datos de tarjetas de cr\u00e9dito, historial de navegaci\u00f3n y lugares visitados. , metadatos del sistema, software instalado y zona horaria, entre otros.<\/p>\n “El uso altamente sofisticado del C++ moderno combinado con bibliotecas externas otorga a este malware un poder formidable”, afirm\u00f3 Kaspersky. “El uso de TLSv1.3 y fijaci\u00f3n SSL garantiza una comunicaci\u00f3n segura y la recopilaci\u00f3n de datos confidenciales”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-malware-SteelFox-y-Rhadamanthys-utiliza-estafas-de-derechos-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\nEl nuevo malware SteelFox explota un controlador vulnerable<\/h2>\n
<\/a><\/center><\/div>\n