{"id":1467821,"date":"2024-12-02T16:58:30","date_gmt":"2024-12-02T16:58:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-smokeloader-resurge-dirigido-a-la-fabricacion-y-la-ti-en-taiwan\/"},"modified":"2024-12-02T16:58:35","modified_gmt":"2024-12-02T16:58:35","slug":"el-malware-smokeloader-resurge-dirigido-a-la-fabricacion-y-la-ti-en-taiwan","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-smokeloader-resurge-dirigido-a-la-fabricacion-y-la-ti-en-taiwan\/","title":{"rendered":"El malware SmokeLoader resurge, dirigido a la fabricaci\u00f3n y la TI en Taiw\u00e1n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ Criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las entidades taiwanesas de los sectores de fabricaci\u00f3n, atenci\u00f3n sanitaria y tecnolog\u00eda de la informaci\u00f3n se han convertido en el objetivo de una nueva campa\u00f1a que distribuye el malware SmokeLoader.<\/p>\n

“SmokeLoader es conocido por su versatilidad y t\u00e9cnicas de evasi\u00f3n avanzadas, y su dise\u00f1o modular le permite realizar una amplia gama de ataques”, Fortinet FortiGuard Labs dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

“Si bien SmokeLoader sirve principalmente como descargador para distribuir otro malware, en este caso, lleva a cabo el ataque \u00e9l mismo descargando complementos de su [command-and-control] servidor.”<\/p>\n

SmokeLoader, un programa de descarga de malware anunciado por primera vez en foros de ciberdelincuencia en 2011, est\u00e1 dise\u00f1ado principalmente para ejecutar cargas \u00fatiles secundarias. Adem\u00e1s, posee la capacidad de descargar m\u00e1s m\u00f3dulos que aumentan su propia funcionalidad para robar datos, lanzar ataques distribuidos de denegaci\u00f3n de servicio (DDoS) y extraer criptomonedas.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“SmokeLoader detecta entornos de an\u00e1lisis, genera tr\u00e1fico de red falso y ofusca el c\u00f3digo para evadir la detecci\u00f3n y dificultar el an\u00e1lisis”, un an\u00e1lisis extenso del malware realizado por Zscaler ThreatLabz anotado<\/a>.<\/p>\n

“Los desarrolladores de esta familia de malware han mejorado constantemente sus capacidades introduciendo nuevas caracter\u00edsticas y empleando t\u00e9cnicas de ofuscaci\u00f3n para impedir los esfuerzos de an\u00e1lisis”.<\/p>\n

La actividad de SmokeLoader sufri\u00f3 una importante ca\u00edda tras la Operaci\u00f3n Endgame, un esfuerzo liderado por Europol que derrib\u00f3 la infraestructura vinculada a varias familias de malware como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot a finales de mayo de 2024.<\/p>\n

Se han desmantelado hasta 1.000 dominios C2 vinculados a SmokeLoader y se han limpiado de forma remota m\u00e1s de 50.000 infecciones. Dicho esto, los grupos de amenazas siguen utilizando el malware para distribuir cargas \u00fatiles a trav\u00e9s de la nueva infraestructura C2.<\/p>\n

\"Software<\/a><\/div>\n

Esto, seg\u00fan zscaler<\/a>se debe en gran medida a las numerosas versiones crackeadas disponibles p\u00fablicamente en Internet.<\/p>\n

El punto de partida de la \u00faltima cadena de ataque descubierta por FortiGuard Labs es un correo electr\u00f3nico de phishing que contiene un archivo adjunto de Microsoft Excel que, cuando se lanza, explota fallas de seguridad de a\u00f1os de antig\u00fcedad (por ejemplo, CVE-2017-0199 y CVE-2017-11882) para eliminar un cargador de malware llamado Ande Loader, que luego se utiliza para implementar SmokeLoader en el host comprometido.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

SmokeLoader consta de dos componentes: un escenario y un m\u00f3dulo principal. Si bien el prop\u00f3sito del stager es descifrar, descomprimir e inyectar el m\u00f3dulo principal en un proceso explorer.exe, el m\u00f3dulo principal es responsable de establecer persistencia, comunicarse con la infraestructura C2 y procesar comandos.<\/p>\n

El malware admite varios complementos que pueden robar credenciales de inicio de sesi\u00f3n y FTP, direcciones de correo electr\u00f3nico, cookies y otra informaci\u00f3n de navegadores web, Outlook, Thunderbird, FileZilla y WinSCP.<\/p>\n

“SmokeLoader realiza su ataque con sus complementos en lugar de descargar un archivo completo para la etapa final”, dijo Fortinet. “Esto muestra la flexibilidad de SmokeLoader y enfatiza que los analistas deben tener cuidado incluso cuando analizan malware tan conocido como este”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n