Los cazadores de amenazas advierten sobre una versi\u00f3n actualizada del software basado en Python Ladr\u00f3n de nodos<\/strong> que ahora est\u00e1 equipado para extraer m\u00e1s informaci\u00f3n de las cuentas del Administrador de anuncios de Facebook de las v\u00edctimas y recopilar datos de tarjetas de cr\u00e9dito almacenados en los navegadores web.<\/p>\n “Recopilan detalles del presupuesto de las cuentas de Facebook Ads Manager de sus v\u00edctimas, lo que podr\u00eda ser una puerta de entrada para la publicidad maliciosa de Facebook”, dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n “Las nuevas t\u00e9cnicas utilizadas por NodeStealer incluyen el uso Administrador de reinicio de Windows<\/a> para desbloquear archivos de base de datos del navegador, agregar c\u00f3digo basura y usar un script por lotes para generar y ejecutar din\u00e1micamente el script Python”.<\/p>\n NodeStealer, documentado p\u00fablicamente por primera vez por Meta en mayo de 2023, comenz\u00f3 como malware de JavaScript antes de evolucionar hasta convertirse en un ladr\u00f3n de Python capaz de recopilar datos relacionados con cuentas de Facebook para facilitar su adquisici\u00f3n.<\/p>\n Se considera que ha sido desarrollado por actores de amenazas vietnamitas, que tienen un historial de aprovechar varias familias de malware que se centran en secuestrar publicidad de Facebook y cuentas comerciales para impulsar otras actividades maliciosas.<\/p>\n El \u00faltimo an\u00e1lisis de Netskope muestra que los artefactos de NodeStealer han comenzado a apuntar a las cuentas de Facebook Ads Manager que se utilizan para administrar campa\u00f1as publicitarias en Facebook e Instagram, adem\u00e1s de atacar las cuentas comerciales de Facebook.<\/p>\n Al hacerlo, se sospecha que la intenci\u00f3n de los atacantes no es s\u00f3lo tomar el control de las cuentas de Facebook, sino tambi\u00e9n convertirlas en armas para usarlas en campa\u00f1as de publicidad maliciosa que propaguen a\u00fan m\u00e1s el malware bajo la apariencia de software o juegos populares.<\/p>\n “Recientemente encontramos varias muestras de Python NodeStealer que recopilan detalles del presupuesto de la cuenta utilizando la API Graph de Facebook”, explic\u00f3 Michael Alcantara. “Las muestras generan inicialmente un token de acceso al iniciar sesi\u00f3n en adsmanager.facebook[.]com utilizando cookies recopiladas en la m\u00e1quina de la v\u00edctima”.<\/p>\n Adem\u00e1s de recopilar los tokens y la informaci\u00f3n comercial vinculada a esas cuentas, el malware incluye un control dise\u00f1ado expl\u00edcitamente para evitar infectar m\u00e1quinas ubicadas en Vietnam como una forma de evadir las acciones policiales, solidificando a\u00fan m\u00e1s sus or\u00edgenes.<\/p>\n Adem\u00e1s de eso, se ha descubierto que ciertas muestras de NodeStealer utilizan el programa leg\u00edtimo Administrador de reinicio de Windows para desbloquear archivos de bases de datos SQLite que posiblemente est\u00e9n siendo utilizados por otros procesos. Esto se hace en un intento de desviar datos de tarjetas de cr\u00e9dito de varios navegadores web.<\/p>\n La exfiltraci\u00f3n de datos se logra utilizando Telegram, lo que subraya que la plataforma de mensajer\u00eda sigue siendo una vector crucial para los ciberdelincuentes<\/a> a pesar de los recientes cambios en su pol\u00edtica.<\/p>\n La publicidad maliciosa a trav\u00e9s de Facebook es una v\u00eda de infecci\u00f3n lucrativa, que a menudo se hace pasar por marcas confiables para difundir todo tipo de malware. Esto se evidencia con la aparici\u00f3n de una nueva campa\u00f1a que comenz\u00f3 el 3 de noviembre de 2024, que imit\u00f3 el software de administraci\u00f3n de contrase\u00f1as Bitwarden a trav\u00e9s de anuncios patrocinados por Facebook para instalar una extensi\u00f3n maliciosa de Google Chrome.<\/p>\n “El malware recopila datos personales y apunta a cuentas comerciales de Facebook, lo que potencialmente genera p\u00e9rdidas financieras para individuos y empresas”, Bitdefender dicho<\/a> en un informe publicado el lunes. “Una vez m\u00e1s, esta campa\u00f1a destaca c\u00f3mo los actores de amenazas explotan plataformas confiables como Facebook para atraer a los usuarios y comprometer su propia seguridad”.<\/p>\n El desarrollo se produce cuando Cofense ha alertado sobre nuevas campa\u00f1as de phishing que emplean formularios de contacto de sitios web y se\u00f1uelos con temas de facturas para entregar familias de malware como I2Parcae RAT y PythonRatLoader<\/a>respectivamente, y este \u00faltimo act\u00faa como un conducto para implementar AsyncRAT, DCRat y Venom RAT.<\/p>\n I2Parcae es “notable por tener varias t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) \u00fanicos, como la evasi\u00f3n de Secure Email Gateway (SEG) mediante el env\u00edo de correos electr\u00f3nicos mediante proxy a trav\u00e9s de infraestructura leg\u00edtima, CAPTCHA falsos, abusando de la funcionalidad codificada de Windows para ocultar archivos ca\u00eddos y capacidades C2 sobre Invisible Internet Project (I2P), una red an\u00f3nima peer-to-peer con cifrado de extremo a extremo”, dijo el investigador de Cofense Kahng An. dicho<\/a>.<\/p>\n “Cuando est\u00e1 infectado, I2Parcae es capaz de deshabilitar Windows Defender, enumerar el Administrador de cuentas de seguridad de Windows (SAM) para cuentas\/grupos, robar cookies del navegador y acceso remoto a hosts infectados”.<\/p>\n Las cadenas de ataque implican la propagaci\u00f3n de enlaces pornogr\u00e1ficos con trampas explosivas en mensajes de correo electr\u00f3nico que, al hacer clic, llevan a los destinatarios del mensaje a una p\u00e1gina intermedia de verificaci\u00f3n CAPTCHA falsa, que insta a las v\u00edctimas a copiar y ejecutar un script PowerShell codificado para acceder al contenido, una t\u00e9cnica que se ha denominado ClickFix.<\/p>\n ClickFix, en los \u00faltimos meses, se ha convertido en un popular truco de ingenier\u00eda social para atraer a usuarios desprevenidos a descargar malware con el pretexto de solucionar un supuesto error o completar una verificaci\u00f3n reCAPTCHA. Tambi\u00e9n es eficaz para eludir los controles de seguridad debido al hecho de que los usuarios se infectan a s\u00ed mismos al ejecutar el c\u00f3digo.<\/p>\n La firma de seguridad empresarial Proofpoint dijo que la t\u00e9cnica ClickFix est\u00e1 siendo utilizada por m\u00faltiples actores de amenazas “no atribuidos” para ofrecer una variedad de troyanos de acceso remoto, ladrones e incluso marcos de post-explotaci\u00f3n como Brute Ratel C4. Incluso ha sido adoptado por presuntos actores de espionaje rusos para violar entidades gubernamentales ucranianas.<\/p>\n “Recientemente se ha observado que los actores de amenazas utilizan una t\u00e9cnica ClickFix con el tema CAPTCHA falso que pretende validar al usuario con una verificaci\u00f3n ‘Verificar que eres humano’ (CAPTCHA)”, dijeron los investigadores de seguridad Tommy Madjar y Selena Larson. dicho<\/a>. “Gran parte de la actividad se basa en un conjunto de herramientas de c\u00f3digo abierto llamado Phish reCAPTCHA<\/a> disponible en GitHub para ‘fines educativos'”.<\/p>\n “Lo insidioso de esta t\u00e9cnica es que los adversarios se aprovechan del deseo innato de las personas de ser \u00fatiles e independientes. Al proporcionar lo que parece ser tanto un problema como una soluci\u00f3n, las personas se sienten empoderadas para ‘solucionar’ el problema por s\u00ed mismas sin necesidad de alertar a su departamento de TI. equipo o cualquier otra persona, y pasa por alto las protecciones de seguridad al hacer que la persona se infecte a s\u00ed misma”.<\/p>\n Las revelaciones tambi\u00e9n coinciden con un aumento de los ataques de phishing que utilizan solicitudes falsas de Docusign para evitar la detecci\u00f3n y, en \u00faltima instancia, realizar fraude financiero.<\/p>\n “Estos ataques plantean una doble amenaza para los contratistas y proveedores: p\u00e9rdida financiera inmediata y posible interrupci\u00f3n del negocio”, SlashNext dicho<\/a>. “Cuando se firma un documento fraudulento, puede desencadenar pagos no autorizados y al mismo tiempo crear confusi\u00f3n sobre el estado real de la licencia. Esta incertidumbre puede provocar retrasos en las ofertas de nuevos proyectos o en el mantenimiento de los contratos actuales”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-malware-NodeStealer-se-dirige-a-cuentas-publicitarias-de-Facebook.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\nLos correos electr\u00f3nicos de phishing distribuyen I2Parcae RAT mediante la t\u00e9cnica ClickFix<\/h2>\n
<\/a><\/center><\/div>\n<\/a><\/div>\n