Se ha descubierto que una campa\u00f1a de malware recientemente descubierta se dirige a usuarios privados, minoristas y empresas de servicios ubicados principalmente en Rusia para ofrecer NetSupport RAT y BurnsRAT.<\/p>\n
La campa\u00f1a, denominada Cuernos y pezu\u00f1as<\/strong> de Kaspersky, ha afectado a m\u00e1s de 1.000 v\u00edctimas desde que comenz\u00f3 alrededor de marzo de 2023. El objetivo final de estos ataques es aprovechar el acceso que ofrecen estos troyanos para instalar malware ladr\u00f3n como Rhadamanthys y Meduza.<\/p>\n “En los \u00faltimos meses se ha producido un aumento en el env\u00edo de correos electr\u00f3nicos con archivos adjuntos similares en forma de un archivo ZIP que contiene scripts JScript”, afirma el investigador de seguridad Artem Ushkov. dicho<\/a> en un an\u00e1lisis del lunes. “Los archivos de script [are] disfrazados de solicitudes y ofertas de clientes o socios potenciales”.<\/p>\n Los actores de amenazas detr\u00e1s de las operaciones han demostrado su desarrollo activo de la carga \u00fatil de JavaScript, realizando cambios significativos durante el transcurso de la campa\u00f1a.<\/p>\n En algunos casos, se ha descubierto que el archivo ZIP contiene otros documentos relacionados con la organizaci\u00f3n o la persona suplantada para aumentar la probabilidad de \u00e9xito del ataque de phishing y enga\u00f1ar a los destinatarios para que abran el archivo con malware.<\/p>\n Una de las primeras muestras identificadas como parte de la campa\u00f1a es un archivo de aplicaci\u00f3n HTML (HTA) que, cuando se ejecuta, descarga una imagen PNG se\u00f1uelo desde un servidor remoto utilizando la utilidad curl para Windows, al mismo tiempo que recupera y ejecuta sigilosamente otro script (” bat_install.bat”) desde un servidor diferente usando el Administrador de BITS<\/a> herramienta de l\u00ednea de comandos.<\/p>\n El script reci\u00e9n descargado procede a buscar utilizando BITSAdmin varios otros archivos, incluido el malware NetSupport RAT, que establece contacto con un servidor de comando y control (C2) configurado por los atacantes.<\/p>\n Una iteraci\u00f3n posterior de la campa\u00f1a observada a mediados de mayo de 2023 involucr\u00f3 el JavaScript intermedio que imitaba bibliotecas de JavaScript leg\u00edtimas como Next.js para activar la cadena de infecci\u00f3n NetSupport RAT.<\/p>\n Kaspersky dijo que tambi\u00e9n encontr\u00f3 otra variante del archivo JavaScript que eliminaba un instalador NSIS que luego es responsable de implementar BurnsRAT en el host comprometido.<\/p>\n “Aunque la puerta trasera admite comandos para descargar y ejecutar archivos de forma remota, as\u00ed como varios m\u00e9todos para ejecutar comandos a trav\u00e9s de la l\u00ednea de comandos de Windows, la tarea principal de este componente es iniciar el sistema de manipulaci\u00f3n remota (RMS<\/a>) como servicio y enviar el ID de sesi\u00f3n RMS al servidor de los atacantes”, explic\u00f3 Ushkov.<\/p>\n “RMS es una aplicaci\u00f3n que permite a los usuarios interactuar con sistemas remotos a trav\u00e9s de una red. Proporciona la capacidad de administrar el escritorio, ejecutar comandos, transferir archivos e intercambiar datos entre dispositivos ubicados en diferentes ubicaciones geogr\u00e1ficas”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n